Phát hiện mã độc Android âm thầm lấy cắp tiền mà nạn nhân không hề hay biết

Hãng bảo mật McAfee vừa báo cáo về hoạt động của một nhóm tin tặc có tên gọi AsiaHitGroup đang phát tán mã độc trực tiếp trên kho ứng dụng Google Play dành cho nền tảng Android.

AsiaHitGroup sử dụng loại mã độc có tên gọi Sonvpay.C để chèn vào các ứng dụng tưởng chừng như vô hại trên kho ứng dụng Google Play như ứng dụng tạo nhạc chuông, ứng dụng đèn pin hay ứng dụng quét mã QR... để khiến người dùng tải và cài đặt vào thiết bị của mình mà không hề hay biết. McAfee cho biết loại mã độc này rất khó để ngăn chặn và nhận ra ngay cả với những người dùng hiểu biết và có kiến thức về nền tảng Android.

Hộp thoại cảnh báo “nâng cấp” giả mạo nhằm lừa người dùng đăng ký vào các dịch vụ thu phí mà họ không hề hay biết

Sau khi một ứng dụng có chứa mã độc được cài trên smartphone của người dùng, có những thời điểm ứng dụng này sẽ yêu cầu người dùng tiến hành “cập nhật” thông qua một nút bấm. Tuy nhiên trên thực tế đây không phải là nút cập nhật ứng dụng như nhiều người vẫn tưởng mà là nút bấm đăng ký vào các dịch vụ có thu phí được “ngụy trang” dưới dạng nút bấm cập nhật ứng dụng.

Không giống như các loại mã độc khác, mã độc Sonvpay.C không sử dụng tin nhắn SMS để xác nhận đăng ký dịch vụ của người dùng mà sử dụng hình thức thanh toán WAP, một dạng gửi tin nhắn thông qua trang web, nghĩa là nếu người dùng không để ý sẽ không hay biết mình vừa đăng ký vào một dịch vụ có trả phí, cho dù họ có xem lại lịch sử tin nhắn SMS cũng không biết được vì không hề có tin nhắn SMS nào được lưu hay gửi đến.

Tính đến nay McAfee đã phát hiện được 15 ứng dụng khác nhau của AsiaHitGroup có chứa loại mã độc Sonvpay.C này, trong đó có những ứng dụng đã được cài đặt lên đến hơn 50.000 lần.

McAfee cho biết các quốc gia có số lượng người bị lây nhiễm mã độc Sonvpay.C này nhiều nhất là Thái Lan, Malaysia, Nga cùng một số quốc gia khác tại khu vực Đông Nam Á. Ước tính nhóm tin tặc đã có thể thu lợi bất chính được số tiền từ 60.000USD đến 145.000USD nhờ vào loại mã độc này.

McAfee cũng đã thông báo đến Google về sự hiện diện của các loại mã độc đánh cắp tiền này và Google đã lập tức xóa bỏ chúng khỏi kho ứng dụng Google Play.

Danh sách các ứng dụng có chứa mã độc Sonvpay.C được phát tán trên kho ứng dụng Google Play

Theo lời khuyên của McAfee, người dùng nên kiểm tra lại thiết bị smartphone của mình, truy cập vào mục “Quản lý ứng dụng” bên trong mục thiết lập của smartphone, tìm và gỡ bỏ các ứng dụng lạ mà bạn không chủ động cài đặt hoặc ít khi sử dụng đến.

Trên thực tế, việc mã độc xuất hiện rộng rãi trên nền tảng Android không phải là điều gì quá mới mẻ, tuy nhiên trước đây các ứng dụng độc hại này thường chỉ phát tán ở kho ứng dụng bên ngoài. Với việc các ứng dụng chứa mã độc xuất hiện công khai ngay trên kho ứng dụng chính thức Google Play và hàng triệu người cài đặt chúng trước khi bị phát hiện khiến nhiều người lo ngại về sự an toàn của các ứng dụng trên Android, khi mà ngay cả Google cũng không thể bảo vệ sự “trong sạch” trên kho ứng dụng của mình.