Bạn có thường xuyên kiểm tra lại thông tin đăng nhập của ứng dụng Cửa hàng Google Play trước khi nhấp vào nút mua không? Nó có phụ thuộc vào những gì bạn đang tải xuống không? Điều gì xảy ra nếu ứng dụng có nhiều mục nhập? Các ứng dụng Cửa hàng Google Play phổ biến với nhiều tùy chọn tải xuống sẽ khiến chuông cảnh báo nội bộ của bạn đổ chuông và trong nhiều trường hợp có thể là dấu hiệu rõ ràng các thực thể độc hại đang hoạt động.
Dễ dàng nhân bản, dễ sửa đổi và dường như dễ dàng vượt qua kiểm tra bảo mật của Google, Trojan clicker khiêu dâm độc hại đang giả dạng ứng dụng trùng lặp, chờ lây nhiễm vào thiết bị của bạn.
Chúng phổ biến như thế nào? Cơ hội của bạn khi tải xuống một ứng dụng độc hại là gì? Điều gì sẽ xảy ra nếu bạn tải xuống một tệp và quan trọng nhất, bạn có thể tránh chúng bằng cách nào?
Porn Clicker Trojans
Trojan clicker khiêu dâm không có gì mới. Thành công của họ được xây dựng dựa trên sự sẵn lòng và sự ngây thơ của rất nhiều người dùng Android tuyệt vọng muốn tải xuống các ứng dụng và trò chơi phổ biến nhất miễn phí, với một niềm tin sai lầm rằng họ có thể đạt được thứ gì đó mà không cần làm gì; nhưng một lần nữa chúng ta lại thấy những điểm chung của bản chất con người bị lợi dụng một cách ác ý.
Các nhà nghiên cứu của công ty bảo mật ESET đã xác định được 343 phần mềm nhấp chuột khiêu dâm độc hại trong khoảng thời gian từ tháng 8 năm 2015 đến tháng 2 năm 2016, với chuyên gia nghiên cứu phần mềm độc hại Android Lukáš Štefanko nhận xét "đã có nhiều chiến dịch phần mềm độc hại trên Google Play, nhưng không có chiến dịch nào khác tồn tại lâu như vậy hoặc đạt được số lượng khổng lồ như vậy dòng tiền thành công. "
Trojan được ngụy trang thành các ứng dụng và trò chơi phổ biến nhất, thu hút hàng nghìn người dùng một cách đáng ngạc nhiên. Về quy mô, mỗi clicker khiêu dâm đã được tải xuống trung bình 3.600 lần, được cải trang thành My Talkin Angela, My Talkin Tom, GTA:San Andreas, GTA:Vice City, Subway Surfers, Hay Day, Temple Run và nhiều hơn nữa.
N.B: Tắt tiếng video bên dưới để bạn tỉnh táo.
Các ứng dụng trùng lặp nhấp chuột khiêu dâm Trojan sử dụng nhiều chiến thuật phân biệt sản phẩm khác nhau để phân biệt với ứng dụng thực. Các số nhận dạng chung bao gồm miễn phí, 201 5, 2016, V1, V2, V3, phiên bản mới, F2P , v.v., làm xáo trộn mục đích thực sự của nó trong khi vẫn gần với phiên bản thực nhất có thể. Thật vậy, những kẻ tấn công hiểu biết nhất sẽ sao chép mô tả sản phẩm, sử dụng các biểu trưng giống hệt nhau và cố gắng tạo ra các đánh giá tích cực thông qua các tài khoản người dùng Google Play bị xâm phạm khác trước khi các đánh giá tiêu cực bắt đầu thực hiện công việc của chúng.
Doanh thu
Mục tiêu chính của biến thể phần mềm độc hại này là tạo ra doanh thu. Những người nhấp chuột khiêu dâm Trojan tạo ra doanh thu bằng cách nhấp vào các quảng cáo được tạo bởi máy chủ của những kẻ tấn công và được đặt trên các trang web khiêu dâm. Điều này xảy ra mà người dùng bị nhiễm virut không hề hay biết, ngấm ngầm tiêu tốn dữ liệu di động tốn kém.
Rất may, Lukáš Štefanko đã kiểm tra mức tiêu thụ dữ liệu của các trình kích hoạt ảnh khiêu dâm Trojan trên hai thiết bị rất phổ biến, Samsung Galaxy S3 và Samsung Galaxy S5. Anh ta đã cài đặt một công cụ nhấp chuột khiêu dâm Trojan được tìm thấy công khai trên Cửa hàng Google Play trên mỗi thiết bị, sau đó để thiết bị chạy trong một giờ để đánh giá lượng dữ liệu sẽ được sử dụng.
Thử nghiệm của Štefanko cho thấy có sự khác biệt nhỏ về lượng dữ liệu mà S3 và S5 tiêu thụ, mặc dù đã thấy dữ liệu trung bình hết 146 MB trong vòng một giờ. Ngoại suy, Štefanko tin rằng những kẻ kích động khiêu dâm Trojan có thể tiêu thụ hơn 3,5GB dữ liệu trong một ngày. Hằng ngày. Cho đến khi người dùng nhận ra thứ gì đó đang diễn ra và cố gắng ngăn dòng dữ liệu.
Biến thể HummingBad
Nếu mối đe dọa về các ứng dụng trùng lặp chứa mã độc hại là chưa đủ tồi tệ, thì các nhà nghiên cứu bảo mật cũng đã phát hiện ra một phần mềm độc hại Android đang hoạt động, lây lan qua một chiến dịch quảng cáo độc hại đang diễn ra. Phần mềm độc hại HummingBad xâm nhập vào thiết bị của nạn nhân thông qua các quảng cáo bị nhiễm bệnh hiển thị trên các trang web khiêu dâm.
Khi ở trên thiết bị, phần mềm độc hại HummingBad sẽ cài đặt bộ rootkit, cho phép kẻ tấn công gây ra thiệt hại nghiêm trọng và kéo dài cho thiết bị của người dùng, cài đặt key-logger, đánh cắp dữ liệu, thu thập thông tin đăng nhập và nếu có cơ hội, sẽ bỏ qua các vùng chứa email được mã hóa. Andrey Polkovnichenko và Oren Koriat, hai thành viên của Nhóm kiểm tra điểm nghiên cứu đã phát hiện ra phần mềm độc hại HummingBad giải thích thêm về chuỗi tấn công của nó:
"Phần mềm độc hại sau đó sẽ kiểm tra xem thiết bị đã được root hay chưa. Nếu thiết bị đã được root, phần mềm độc hại sẽ tiếp tục hoạt động theo mục tiêu của nó. Nếu thiết bị chưa được root, phần mềm độc hại chính XOR sẽ giải mã một tệp từ nội dung của nó có tên là right_core.apk (mọi ký tự đều được XORed so với 85). Sau đó right_core.apk giải mã thư viện gốc từ tệp có tên support.bmp. Thư viện gốc này được sử dụng để khởi chạy nhiều lần khai thác nhằm nâng cao đặc quyền và giành quyền truy cập root. "
Như với hầu hết các phần mềm độc hại, dựa trên Android hoặc không, sau khi thiết lập và chạy phần mềm độc hại sẽ quay về nhà một máy chủ chỉ huy và kiểm soát để được hướng dẫn thêm, một số cài đặt thêm các ứng dụng độc hại, một số khác hướng lưu lượng truy cập gian lận đến các máy chủ quảng cáo khác nhau, tạo ra doanh thu.
Sự cố đang xảy ra
Vấn đề chính, ngoài bản thân những người nhấp chuột khiêu dâm Trojan thực tế, là tốc độ mà các ứng dụng độc hại này đang lọt qua mạng và kết thúc trên Cửa hàng Google Play. Khi chúng được chấp nhận, gần như không thể tránh khỏi ai đó sẽ tải xuống và kích hoạt ứng dụng, mang lại cho những kẻ tấn công nhiều doanh thu cần thiết.
Google có bộ lọc Bouncer, được thiết kế để bắt và ngăn chặn mã độc hại thường được gửi. Cửa hàng Google Play cũng có quy trình xem xét của con người được thiết kế để ngăn chặn bất kỳ ứng dụng độc hại nào tiếp cận thiết bị của chúng tôi.
Hơn nữa, Android có cài đặt "Xác minh ứng dụng" có sẵn được thiết kế để chặn cài đặt bất kỳ ứng dụng nào có khả năng gây hại cho thiết bị của người dùng. Điều này thường là để ngăn chặn bất kỳ cài đặt APK độc hại nào, mặc dù các nhà nghiên cứu bảo mật đã lưu ý rằng hệ thống chỉ hoạt động nếu ứng dụng trước đó đã bị xóa khỏi Cửa hàng Google Play. Vì mỗi ứng dụng trùng lặp chứa một chút chỉnh sửa về mã độc đang hoạt động, cũng như các chiến thuật làm nhiễu loạn để kéo dài tuổi thọ, mục đích thực sự của chúng vẫn bị che khuất. Các hệ thống này rõ ràng là không hoạt động.
Tuy nhiên, có một biện pháp bảo vệ mà bất kỳ người dùng nào cũng có thể lưu ý:đánh giá tiêu cực của người dùng. Là một trong những hệ thống bảo mật duy nhất có thể được bao phủ bởi trọng lượng tuyệt đối của người dùng thực, không đủ nạn nhân cam kết thẩm định của riêng họ và đọc đánh giá của người dùng. Các đánh giá tiêu cực thường xảy ra có lý do.
Trong trường hợp ứng dụng độc hại, những người dùng không may bị chích sẽ cung cấp rất nhiều thứ cần thiết, mặc dù họ đã bỏ qua mạng lưới an toàn. Bạn chỉ cần nhìn vào số lượng tải xuống nghiêm trọng để hiểu có bao nhiêu người bỏ qua các đánh giá tiêu cực, tiếp tục tải xuống một ứng dụng độc hại khi tất cả các dấu hiệu đang la hét ST O P .
Bạn có thể Giữ An toàn
Một khía cạnh khác của vấn đề là giáo dục. Tôi luôn kiểm tra các đánh giá trước khi tải xuống. Điều đó có vẻ cực kỳ hiển nhiên đối với tôi, và bất cứ thứ gì có lượng lớn đánh giá tiêu cực hoặc xếp hạng một sao, ít nhất là đối với tôi, là một điều tuyệt vời.
Những người khác không dễ bị thuyết phục như vậy. Nhưng bạn nên dành vài phút quý giá đó để kiểm tra lại một ứng dụng trước khi tải xuống:
- Kiểm tra đánh giá ứng dụng. Nếu chúng khủng khiếp, đừng tải xuống!
- Kiểm tra cho các bản sao của ứng dụng. Chỉ nên có một phiên bản!
- Kiểm tra tên nhà phát triển và số lượt tải xuống. Một ứng dụng cực kỳ phổ biến sẽ có hàng triệu lượt tải xuống cùng với tên nhà phát triển dự kiến, ví dụ: GTA:San Andreas có Rockstar Games là nhà phát triển được nêu tên, tổng cộng hơn 175 nghìn lượt đánh giá và chỉ dưới 1.000.000 lượt tải xuống - như bạn mong đợi từ một tựa game cực kỳ nổi tiếng.
- Kiểm tra tên ứng dụng cho các yếu tố khác biệt, chẳng hạn như miễn phí, 201 5, 2016, V1, V2, V3, phiên bản mới, và F2P , và tham khảo chéo chúng trực tuyến.
- Kiểm tra "[tên ứng dụng] + phần mềm độc hại" trong tìm kiếm của Google. Nó sẽ nhanh chóng tiết lộ bất kỳ chiến dịch phần mềm độc hại nào đang diễn ra.
- Kiểm tra "[tên ứng dụng] + giảm giá" trong tìm kiếm của Google. Ứng dụng trả phí không đột nhiên trở nên miễn phí. Nó không phải là chưa từng nghe đến, nhưng chắc chắn là không phổ biến.
Cuối cùng, Android và các phần mềm độc hại di động khác đang gia tăng. Giống như chúng ta đang chứng kiến sự gia tăng của ransomware tiên tiến trên máy tính xách tay và PC, những kẻ tấn công rất thông minh với các lỗ hổng phổ biến trong các hệ điều hành phổ biến nhất - cũng như các lỗ hổng rõ ràng trong tâm lý con người. Đừng để mình trở thành một phần của thống kê!
Bạn đã từng là nạn nhân của một công cụ nhấp chuột khiêu dâm trên Android chưa? Làm thế nào bạn nhận ra, và làm thế nào bạn thoát khỏi nó? Hãy cho chúng tôi biết bên dưới!