Khi tải xuống ứng dụng cho Android, thông thường bạn chỉ sử dụng ứng dụng Google Play. Rốt cuộc, ai biết loại phần mềm độc hại nào được đóng gói trong các ứng dụng được tải xuống từ các trang web ngẫu nhiên? Do đó, Google Play là nơi thích hợp để tải xuống ứng dụng an toàn và đáng tin cậy. Thật không may, mặc dù đây là nơi tốt nhất để tải ứng dụng, nhưng nó chắc chắn không phải là điều dễ hiểu!
Gần đây, người ta phát hiện ra rằng một chuỗi phần mềm độc hại Android, được gọi là FalseGuide, đã lây nhiễm lên tới 2 triệu điện thoại Android. Nó đã thực hiện điều này như thế nào và nó có ý nghĩa gì đối với toàn bộ ứng dụng?
Phương pháp
Tên “FalseGuide” thể hiện cách ứng dụng được phân phối. Họ tận dụng các ứng dụng hướng dẫn trò chơi, một tập hợp con các ứng dụng phổ biến trên cửa hàng Android. Người chơi luôn tìm kiếm hướng dẫn cho các trò chơi mà họ chơi, vì nó khó hoặc có cơ chế ẩn. Mặc dù tra cứu hướng dẫn trực tuyến không phải là cải tiến mới, nhưng các ứng dụng đã đưa chúng vào một định dạng tương tác mới. Điều này có nghĩa là người chơi trên khắp thế giới đang truy cập Google Play để tìm các ứng dụng giúp họ đánh bại các trò chơi mà họ đang chơi.
Các nhà phát triển phần mềm độc hại đã nhập lậu vào FalseGuide bằng cách giả mạo nó như một hướng dẫn trò chơi. Những hướng dẫn độc hại này được viết cho các mục phổ biến, chẳng hạn như Terraria và World of Tanks, để đảm bảo phân phối tối đa. Sau khi tải lên, họ chỉ cần đợi hàng nghìn người tải xuống hướng dẫn. Những dấu hiệu đầu tiên cho thấy có điều gì đó không ổn trong thế giới hướng dẫn trò chơi đã xuất hiện vào ngày 24 tháng 4 năm 2017, nhưng ứng dụng lâu đời nhất được tìm thấy có cài đặt phần mềm độc hại đã được tải lên Google Play vào ngày 14 tháng 2 năm 2017. Điều này có nghĩa là phần mềm độc hại có một vài tháng miễn phí để luân chuyển giữa các thiết bị.
Đối với việc thực sự phát tán phần mềm độc hại, việc truy cập vào Google Play khiến các nhà phân phối phần mềm độc hại trở nên vô cùng dễ dàng. Bằng cách nhập lậu phần mềm độc hại trong hướng dẫn cho các trò chơi phổ biến, mọi người cho rằng vì nó có trên Google Play nên tải xuống an toàn 100%. Theo giả định sai lầm rằng cửa hàng Play là không thể sai lầm, mọi người đã tải xuống ứng dụng mà không cần suy nghĩ kỹ, làm lây nhiễm FalseGuide cho thiết bị của chính họ. Thông qua đó, FalseGuide đã quản lý để hạ cánh trên 2 triệu thiết bị trong thời gian 2 tháng.
Bạn có thể tìm thấy danh sách đầy đủ các ứng dụng được phát hiện có chứa phần mềm độc hại ở gần cuối bài viết chính thức về Điểm kiểm tra.
FalseGuide làm gì?
Mỗi phần mềm độc hại đều có mục đích. Từ việc đánh cắp thông tin đến việc gây thiệt hại đơn giản, mọi cuộc tấn công ác ý đều có động cơ đằng sau nó. Mục tiêu của FalseGuide hiện nay là gì khi nó có 2 triệu thiết bị trong tầm tay?
Các mục tiêu của FalseGuide như sau:
- Người dùng tìm và bắt đầu tải xuống hướng dẫn trò chơi bị nhiễm virut trên điện thoại của họ. Ứng dụng yêu cầu quyền cài đặt "quản trị viên thiết bị" để ứng dụng có thể thực hiện các nhiệm vụ của mình. Người dùng chấp nhận điều này và cài đặt ứng dụng.
- FalseGuide, hiện có quyền quản trị thiết bị, tự thiết lập để người dùng không thể xóa nó.
- Sau đó, FalseGuide tự đăng ký một dịch vụ có tên “Nhắn tin qua đám mây Firebase” mà người dùng không hề hay biết. Đây là một dịch vụ cho phép các nhà phát triển ứng dụng gửi tin nhắn và thông báo đến ứng dụng của họ và được phát triển với mục đích vô tội. FalseGuide định vị và đăng ký một chủ đề có cùng tên với ứng dụng mà nó đã được phân phối, sau đó đợi hướng dẫn thêm.
- Thông qua chủ đề Firebase, FalseGuide có thể nhận được thông báo từ nhà phát triển phần mềm độc hại để cài đặt và chạy các lệnh độc hại.
Kết quả là một phần mềm độc hại không thể xóa được sẽ lắng nghe và thực thi các lệnh do nhà phân phối của nó đưa ra. Các lệnh này có thể bao gồm từ việc cài đặt phần mềm quảng cáo trên điện thoại đến việc khởi tạo các cuộc tấn công DDoS trên máy chủ nạn nhân. Nói tóm lại, FalseGuide cho phép nhà phân phối phần mềm độc hại tự do làm việc theo ý họ muốn với thiết bị của người dùng.
Nó được chấp nhận như thế nào?
Vấn đề với các ứng dụng như FalseGuide là chúng được ngụy trang thành các ứng dụng vô tội, sau đó trở thành ứng dụng độc hại sau khi chúng được cài đặt. Điều này được thực hiện bằng cách đảm bảo ứng dụng cơ sở không chứa mã độc hại. Điều đó có nghĩa là “ứng dụng của nhà cung cấp dịch vụ” sẽ vượt qua quá trình sàng lọc của Google Play mà không phát hiện thấy phần mềm độc hại nào.
Chỉ sau khi được cài đặt trên một thiết bị trong một thời gian dài, thiết bị đó mới nhận được hướng dẫn thông qua Firebase. Sau đó, các hướng dẫn này cung cấp cho ứng dụng mã độc hại mà phần mềm độc hại yêu cầu để hoạt động. Điều này cho phép các botnet như FalseGuide tự thiết lập trên Google Play trong khi trượt dưới khả năng phát hiện chống phần mềm độc hại nghiêm ngặt.
Tiến lên
Trong bối cảnh một mạng botnet được thiết lập dưới sự giám sát của Google, chúng ta, với tư cách là người dùng, có thể làm gì để tránh những cuộc tấn công này?
Trước tiên, nếu bạn nghi ngờ điện thoại của mình bị dính FalseGuide, hãy đảm bảo tải xuống và chạy giải pháp chống vi-rút đáng tin cậy dành cho Android. Nếu bạn không chắc cái gì an toàn và cái gì không, chúng tôi đã đưa ra danh sách các ứng dụng chống vi-rút được đề xuất để bạn dùng thử.
Bất kể bạn có bị nhiễm hay không, câu chuyện này là một lời nhắc nhở bạn nên thận trọng với thiết bị Android của mình. Mặc dù Google Play là nơi an toàn nhất để tải xuống ứng dụng, nhưng nó chắc chắn không hoàn hảo! Luôn đọc cửa sổ bật lên “Quyền thiết bị” và đảm bảo rằng ứng dụng không yêu cầu đi đến những nơi không nên làm. Nếu một ứng dụng đơn giản bắt đầu yêu cầu quyền đối với các khu vực quan trọng trên điện thoại của bạn, đừng cài đặt ứng dụng đó.
Người dùng bị lừa dối
Với hơn 2 triệu thiết bị bị nhiễm virus, FalseGuide là một câu chuyện cảnh báo về cách không cho rằng các ứng dụng hoàn toàn an toàn 100% vì chúng nằm trên một cửa hàng ứng dụng chính thức. Giờ thì bạn đã biết cách hoạt động của FalseGuide, cách nó quản lý để lây lan và cách tránh một cuộc tấn công tương tự trong tương lai.
Bạn đã bao giờ bị lây nhiễm bởi một ứng dụng từ cửa hàng ứng dụng chính thức chưa? Hãy kể cho chúng tôi những câu chuyện của bạn trong phần bình luận!