Η Nghiên cứu điểm kiểm tra (CPR) đã phát hiện sáu ứng dụng trong Cửa hàng play của Google phát tán phần mềm độc hại bằng cách giả vờ là các giải pháp chống vi-rút.
Γđược biết như cá mập, phần mềm độc hại đánh cắp thông tin xác thực và thông tin ngân hàng. Trong quá trình nghiên cứu của mình, CPR đếm qua 1.000 IP duy nhất địa chỉ của các thiết bị bị nhiễm, chủ yếu ở Vương quốc Anh và Ý. Tuy nhiên, thống kê của anh Cửa hàng Google Play tiết lộ rằng các ứng dụng độc hại đã được tải xuống nhiều hơn 11.000 lần.
Nó cá mập thu hút nạn nhân của nó thông qua các cảnh báo đẩy và lừa người dùng nhập thông tin đăng nhập vào môi trường bắt chước biểu mẫu nhập dữ liệu. CÁC CPR nghi ngờ mối đe dọa là người nói tiếng Nga và cảnh báo người dùng Android trên toàn thế giới phải hết sức cẩn thận trước khi tải xuống các giải pháp chống vi-rút trên Cửa hàng play.
- Nó 62% trong số các nạn nhân được tìm thấy ở Ý, 36% ở Anh, 2% ở các quốc gia khác
- Các nhà khai thác mối đe dọa đã triển khai hàng rào địa lý, bỏ qua người dùng thiết bị ở Trung Quốc, Ấn Độ, Romania, Nga, Ukraine và Belarus
- CPR ngay lập tức báo cáo phát hiện của cô ấy trên Google, đã loại bỏ các ứng dụng độc hại
Η Nghiên cứu điểm kiểm tra (CPR) Anh ấy đã khám phá nó sáu ứng dụng phát tán phần mềm độc hại ngân hàng trên Cửa hàng Google Play dưới dạng các giải pháp chống vi-rút được ngụy trang. Phần mềm độc hại, được gọi là "cá mậpĐánh cắp thông tin xác thực và thông tin ngân hàng của người dùng Android. Các cá mập dụ dỗ nạn nhân của nó chèn thông tin đăng nhập của họ vào các cửa sổ bắt chước các biểu mẫu nhập thông tin xác thực. Khi người dùng nhập dữ liệu của họ vào đó, dữ liệu bị xâm nhập sẽ được gửi đến một máy chủ độc hại. CÁC CPR nhận thấy rằng những người tạo phần mềm độc hại đã triển khai tính năng định vị địa lý bỏ qua những người dùng thiết bị trong Trung Quốc, Ấn Độ, Romania, Nga, Ukraine hoặc Belarus.
Sáu ứng dụng độc hại
Bốn trong số các ứng dụng đến từ ba tài khoản nhà phát triển của họ Zbynek Adamcik, Adelmio Pagnotto và Bingo Like Inc. Khi CPR kiểm tra lịch sử của các tài khoản này, họ phát hiện ra rằng hai trong số đó đã hoạt động vào mùa thu năm 2021. Một số ứng dụng được liên kết với các tài khoản này đã bị xóa khỏi Google Play, nhưng vẫn tồn tại ở các thị trường không chính thức. Điều này có thể có nghĩa là người đứng sau các ứng dụng đang cố gắng ở "dưới tầm ngắm" trong khi vẫn tham gia vào hoạt động độc hại.
Các nạn nhân
CPR có thể thu thập số liệu thống kê trong một tuần. Trong khoảng thời gian này, anh ấy đã đếm nhiều hơn 1.000 nạn nhân IP. Mỗi ngày, số nạn nhân tăng lên khoảng 100 người. Theo thống kê của ông Google play, sáu ứng dụng độc hại được phát hiện bởi CPR đã được tải xuống hơn 11.000 lần. Hầu hết các nạn nhân ở Vương quốc Anh và Ý.
Hình 2.% nạn nhân trên mỗi quốc gia
Phương pháp tấn công
- Khuyến khích người dùng cấp quyền truy cập vào ứng dụng
- Sau đó, phần mềm độc hại giành quyền kiểm soát một phần lớn thiết bị của nạn nhân
- Kẻ đe dọa cũng có thể gửi cảnh báo đẩy tới nạn nhân có chứa liên kết độc hại
Chi tiết về cuộc tấn công
CPR không có đủ dữ liệu để quy trách nhiệm cho một vị trí cụ thể. Chúng tôi có thể giả định rằng các tác giả phần mềm độc hại nói tiếng Nga. Ngoài ra, phần mềm độc hại sẽ không thực hiện chức năng độc hại của nó nếu thiết bị được đặt tại địa phương ở Trung Quốc, Ấn Độ, Romania, Nga, Ukraine hoặc Belarus.
Chúng tôi thông báo có trách nhiệm
Ngay sau khi xác định vị trí các ứng dụng phát tán Sharkbot này, CPR đã thông báo phát hiện của mình cho Google. Sau khi xem xét các ứng dụng, Google đã tiến hành gỡ bỏ vĩnh viễn các ứng dụng này khỏi cửa hàng Google Play. Cùng ngày mà CPR đã báo cáo kết quả cho Google, nhóm NCC được phát hành một nghiên cứu riêng cho Sharkbot, trích dẫn một trong những ứng dụng độc hại.
Bình luận của anh ấy Alexander Chailytko, An ninh mạng, Quản lý Nghiên cứu & Đổi mới, Phần mềm Check Point:
Tôi nghĩ rằng điều quan trọng là tất cả người dùng Android phải biết rằng họ cần phải rất cẩn thận trước khi tải xuống bất kỳ giải pháp chống vi-rút nào từ Cửa hàng Play. Nó có thể là Sharkbot.
Mẹo bảo mật cho người dùng Android
- Chỉ cài đặt các ứng dụng từ các nhà xuất bản đáng tin cậy và đã được xác minh.
- Nếu bạn thấy một ứng dụng từ một nhà xuất bản mới, hãy tìm một ứng dụng từ một nhà xuất bản đáng tin cậy.
- Báo cáo cho Google bất kỳ ứng dụng nào có vẻ đáng ngờ mà bạn gặp phải.
Các bạn đừng quên theo dõi nhé Xiaomi-miui.gr tại Google Tin tức để được thông báo ngay lập tức về tất cả các bài viết mới của chúng tôi! Bạn cũng có thể nếu bạn sử dụng trình đọc RSS, hãy thêm trang của chúng tôi vào danh sách của bạn, đơn giản bằng cách nhấp vào liên kết này >> https://news.xiaomi-miui.gr/feed/gn
Theo dõi chúng tôi tại Telegram để bạn là người đầu tiên tìm hiểu mọi tin tức của chúng tôi!