Hơn 750.000 người dùng đã tải xuống ứng dụng gian lận thanh toán mới từ Cửa hàng Google Play

Những ứng dụng đang bị tình nghi là nhắm đến những người dùng mục tiêu ở khu vực Tây Nam Á và Arabian Peninsula, đã thu hút tổng cộng hơn 700,000 lượt tải trước khi chúng bị phát hiện và gỡ bỏ khỏi của hàng Google Play.

Chúng giả dạng mình dưới danh nghĩa các ứng dụng chỉnh sửa hình ảnh, ảnh nền, câu đố, nền bàn phím và những ứng dụng liên quan đến chụp ảnh khác, mã độc được chèn bên trong có khả năng giả danh các thông báo tin nhắn SMS và thực hiện các gian lận thanh toán trên thiết bị của nạn nhân.

Chúng thuộc vào dòng mã độc Joker được tìm thấy nhiều lần liên tục vượt qua hàng rào bảo vệ của Google Play trong 4 năm qua, dẫn đến việc Google Play đã xóa không dưới 1,700 ứng dụng bị nhiễm bệnh khỏi cửa hàng Google Play.

Phần mềm độc hại này nổi tiếng với việc gây ra gian lận thanh toán và các khả năng của phần mềm gián điệp, bao gồm ăn cắp tin nhắn SMS, danh sách liên hệ và thông tin thiết bị. Các tác giả phần mềm độc hại thường sử dụng một kỹ thuật được gọi là lập phiên bản, đề cập đến việc tải một phiên bản sạch của ứng dụng lên Cửa hàng Play để xây dựng lòng tin giữa người dùng và sau đó lén lút thêm mã độc hại vào giai đoạn sau thông qua các bản cập nhật ứng dụng, với nỗ lực vượt qua quy trình xem xét ứng dụng.

Mã bổ sung được đưa vào đóng vai trò là trọng tải ở giai đoạn đầu tiên, giả mạo các tệp .PNG dường như vô hại và thiết lập với máy chủ lệnh và kiểm soát (C2) để truy xuất khóa bí mật được sử dụng để giải mã tệp cho trình tải. Tải trọng tạm thời này sau đó tải tải trọng thứ hai được mã hóa cuối cùng được giải mã để cài đặt phần mềm độc hại.

Điều tra về các máy chủ C2 đã tiết lộ thông tin cá nhân của người dùng, bao gồm nhà cung cấp dịch vụ, số điện thoại, tin nhắn SMS, địa chỉ IP, quốc gia, trạng thái mạng, cùng với việc tự động gia hạn đăng ký.

Theo kaspersky.proguide.vn