Hơn 750.000 người dùng đã tải xuống ứng dụng gian lận thanh toán mới từ Cửa hàng Google Play

Đăng nhận xét
Các nhà nghiên cứu đã phát hiện ra một tập hợp các ứng dụng Android gian lận mới trong cửa hàng Google Play bị phát hiện là lấy cắp thông báo tin nhắn SMS để thực hiện hành vi gian lận thanh toán.

Các ứng dụng được đề cập chủ yếu nhắm mục tiêu đến người dùng ở Tây Nam Á và Bán đảo Ả Rập, thu hút tổng cộng 700.000 lượt tải xuống trước khi chúng bị phát hiện và bị xóa khỏi nền tảng.

Các phát hiện được báo cáo độc lập bởi các công ty an ninh mạng Trend Micro và McAfee .

Các nhà nghiên cứu từ McAfee cho biết: "Đóng giả làm người chỉnh sửa ảnh, hình nền, câu đố, da bàn phím và các ứng dụng khác liên quan đến máy ảnh, phần mềm độc hại nhúng trong các ứng dụng gian lận này sẽ chiếm đoạt thông báo tin nhắn SMS và sau đó thực hiện mua hàng trái phép", các nhà nghiên cứu từ McAfee cho biết trong một bài viết hôm thứ Hai.

Hơn 750.000 người dùng đã tải xuống ứng dụng gian lận thanh toán mới từ Cửa hàng Google Play

Các ứng dụng gian lận thuộc về phần mềm độc hại được gọi là " Joker " (hay còn gọi là Bread), được phát hiện là đã liên tục vượt qua hàng rào bảo vệ của Google Play trong bốn năm qua, dẫn đến việc Google xóa không dưới 1.700 ứng dụng bị nhiễm bệnh khỏi Cửa hàng Play. vào đầu năm 2020. Tuy nhiên, McAfee đang theo dõi mối đe dọa dưới một biệt danh riêng có tên là "Etinu."

Phần mềm độc hại này nổi tiếng với việc gây ra gian lận thanh toán và các khả năng của phần mềm gián điệp, bao gồm ăn cắp tin nhắn SMS, danh sách liên hệ và thông tin thiết bị. Các tác giả phần mềm độc hại thường sử dụng một kỹ thuật được gọi là lập phiên bản, đề cập đến việc tải một phiên bản sạch của ứng dụng lên Cửa hàng Play để xây dựng lòng tin giữa người dùng và sau đó lén lút thêm mã độc hại vào giai đoạn sau thông qua các bản cập nhật ứng dụng, với nỗ lực vượt qua quy trình xem xét ứng dụng.

Mã bổ sung được đưa vào đóng vai trò là trọng tải ở giai đoạn đầu, giả mạo các tệp .PNG dường như vô hại và thiết lập với máy chủ lệnh và kiểm soát (C2) để truy xuất khóa bí mật được sử dụng để giải mã tệp cho trình tải. Tải trọng tạm thời này sau đó tải tải trọng thứ hai được mã hóa cuối cùng được giải mã để cài đặt phần mềm độc hại.

Hơn 750.000 người dùng đã tải xuống ứng dụng gian lận thanh toán mới từ Cửa hàng Google Play

Cuộc điều tra của McAfee về các máy chủ C2 đã tiết lộ thông tin cá nhân của người dùng, bao gồm nhà cung cấp dịch vụ, số điện thoại, tin nhắn SMS, địa chỉ IP, quốc gia, trạng thái mạng, cùng với việc tự động gia hạn đăng ký.

Dưới đây là danh sách chín ứng dụng:
  • Keyboard Wallpaper (com.studio.keypaper2021)
  • PIP Photo Maker (com.pip.editor.camera)
  • 2021 Wallpaper and Keyboard (org.my.favorites.up.keypaper)
  • Barber Prank Hair Dryer, Clipper and Scissors (com.super.color.hairdryer)
  • Picture Editor (com.ce1ab3.app.photo.editor)
  • PIP Camera (com.hit.camera.pip)
  • Keyboard Wallpaper (com.daynight.keyboard.wallpaper)
  • Pop Ringtones for Android (com.super.star.ringtones)
  • Cool Girl Wallpaper/SubscribeSDK (cool.girly.wallpaper)
Người dùng đã tải xuống ứng dụng được khuyến khích kiểm tra bất kỳ giao dịch trái phép nào đồng thời thực hiện các bước để đề phòng các quyền đáng ngờ do ứng dụng yêu cầu và xem xét kỹ lưỡng các ứng dụng trước khi chúng được cài đặt trên thiết bị.

Các nhà nghiên cứu của Trend Micro cho biết: "Đánh giá bằng cách các nhà khai thác Joker liên tục đảm bảo sự tồn tại của phần mềm độc hại trong Google Play ngay cả sau khi bị bắt nhiều lần, có lẽ có nhiều cách mà [các nhà khai thác] đang thu lợi từ kế hoạch này".

Related Posts

Đăng nhận xét

Subscribe Our Newsletter