Thận trọng: Ứng dụng Android có phần mềm độc hại đánh lừa người dùng để mua hàng

Οcác nhà nghiên cứu của nó Kaspersky phát hiện một ứng dụng Trojan nhằm đe dọa người dùng bằng các quảng cáo không được yêu cầu và tạo điều kiện cho việc cài đặt các ứng dụng để mua sắm trực tuyến - đánh lừa cả người dùng và nhà quảng cáo. Ứng dụng độc hại này "ghé thăm" các cửa hàng ứng dụng dành cho điện thoại thông minh, "tải xuống" và khởi chạy ứng dụng và để lại những đánh giá sai lệch về phía người dùng, tất cả mà chủ sở hữu thiết bị không hề hay biết.

Khi giảm giá mùa đông đến gần, cả người tiêu dùng và thương hiệu đều cần phải đề phòng. Khi lựa chọn cửa hàng, người dùng chủ yếu dựa vào đánh giá, trong khi các nhà bán lẻ tăng ngân sách khuyến mãi và quảng cáo. Hóa ra, không ai có thể hoàn toàn tin tưởng vào những gì họ nhìn thấy trên internet, vì một ứng dụng Trojan mới nâng cao xếp hạng và cài đặt của các ứng dụng mua sắm trực tuyến phổ biến và phát tán nhiều quảng cáo có thể làm phiền người dùng.

Nó Trojan, với Tiêu đề "Người mua hàng", Đã thu hút sự chú ý của các nhà nghiên cứu sau khi sử dụng rộng rãi dịch vụ trợ năng của nó Google. Dịch vụ cho phép người dùng đặt giọng nói để đọc nội dung của ứng dụng và tự động hóa tương tác với giao diện người dùng - được thiết kế để giúp đỡ người khuyết tật. Tuy nhiên, trong tay của những kẻ tấn công, hoạt động này đe dọa nghiêm trọng đến chủ sở hữu của thiết bị.

Sau khi được cấp phép sử dụng dịch vụ, phần mềm độc hại có thể có cơ hội gần như không giới hạn để tương tác với giao diện hệ thống và các ứng dụng. Nó có thể ghi lại dữ liệu hiển thị trên màn hình, nhấn các nút, và thậm chí mô phỏng các chuyển động của người dùng. Người ta vẫn chưa biết ứng dụng độc hại lây lan như thế nào, tuy nhiên, các nhà nghiên cứu của nó Kaspersky giả định rằng chủ sở hữu thiết bị có thể tải xuống ứng dụng này từ các quảng cáo gian lận hoặc cửa hàng ứng dụng của bên thứ ba trong khi cố gắng tải xuống một ứng dụng hợp pháp.

Ứng dụng tự ngụy trang thành ứng dụng hệ thống và sử dụng biểu tượng hệ thống có tên "Conpap”Được ẩn khỏi người dùng. Sau khi màn hình được mở khóa, ứng dụng sẽ được khởi chạy, ứng dụng này sẽ thu thập thông tin về thiết bị của nạn nhân và gửi đến máy chủ của kẻ tấn công. Máy chủ trả về các lệnh sẽ được ứng dụng thực thi. Tùy thuộc vào các lệnh, ứng dụng có thể:

• Sử dụng tài khoản Google hoặc Facebook của chủ sở hữu thiết bị để đăng ký các ứng dụng giải trí và mua sắm phổ biến, bao gồm AliExpress, Lazada, Zalora, Shein, JOOM, Likee và Alibaba.
• Để lại các bài đánh giá ứng dụng trên Google play thay mặt cho chủ sở hữu thiết bị.
• Kiểm soát quyền sử dụng Dịch vụ trợ năng. Nếu không có quyền nào được cấp, nó sẽ gửi yêu cầu lừa đảo đến họ.
• Đến tắt nó Bảo vệ Google Play, một tính năng thực hiện kiểm tra bảo mật trên các ứng dụng từ Cửa hàng Google Play trước khi tải chúng xuống.
• Mở liên kết nhận được từ máy chủ từ xa trong một cửa sổ ẩn và ẩn khỏi menu ứng dụng sau khi bỏ chặn một loạt màn hình.
• Hiển thị quảng cáo khi nó mở khóa màn hình thiết bị và gắn thẻ quảng cáo trong menu ứng dụng.
• Mở và tải xuống quảng cáo trên Google Play.
• Thay thế thẻ của các ứng dụng đã cài đặt bằng thẻ của các trang được quảng cáo.

Như đã nói bởi Igor Golovin, Kaspersky Malware Analyzer.