Các chuyên gia nghiên cứu bảo mật ESET đã phát hiện ra 42 ứng dụng trên Google Play với tổng số hơn 8 triệu lượt tải xuống . Những phần mềm này ban đầu được cung cấp lên chợ ứng dụng dưới dạng hợp pháp, nhưng sau đó tự động cập nhật để chạy quảng cáo dưới dạng Adware độc hại. Điều chú ý là các ứng dụng chạy Android này được phát triển bởi một sinh viên học đại học tại Việt Nam. Anh ta dễ dàng bị theo dõi và lộ danh tính bởi vì anh ta còn không thèm bận tâm đến việc che giấu danh tính của mình.
Theo ESET, ban đầu không phải tất cả ứng dụng đều chứa mã Ashas. Các ứng dụng được xây dựng và đăng tảilên store bằng tài khoản của một doanh nghiệp phát triển ứng dụng hợp pháp. Nhưng ngay sau đó, các bản cập nhật mới được sinh viên này chèn thêm những đoạn mã Ashas. Các đoạn mã này ra lệnh hiển thị nhiều quảng cáo toàn màn hình, phủ lên tất cả những ứng dụng khác, ép người dùng xem và nhấp vào quảng cáo, gây ức chế và tiềm ẩn nhiều rủi ro.
Các ứng dụng này đều được liên kết tới một tên miền được đăng ký công khai giúp tìm ra danh tính của anh chàng này , bao gồm tên thật, địa chỉ và số điện thoại của anh ta, tài khoản cá nhân của anh ta trên Facebook, GitHub và YouTube.
Hàng loạt chứng cứ được phát hiện
Ứng dụng nhận dữ liệu được cấu hình từ máy chủ C & C, để hiển thị quảng cáo , tàng hình , tự phục hồi.
Mánh khóe giúp ứng dụng tàng hình và tự phục hổi
Thời gian trễ giúp trì hoãn hiển thị quảng cáo được triển khai bởi phần mềm quảng cáo
Phần mềm quảng cáo mạo danh Facebook (bên trái). Nếu người dùng nhấn và giữ biểu tượng, tên của ứng dụng sẽ được tiết lộ (phải).
Mã độc hại được ẩn trong gói có tên là com.google
Thông tin tên miền C & C sử dụng mã quảng cáo Ashas
Thông tin có thể được làm giả nhưng bên ESET truy tìm ra cả các thông tin danh sách các sinh viên đang theo học tại một trường đại học Việt Nam - chứng thực sự tồn tại danh tính người đăng ký sử dụng tên miền C&C .
Các ứng dụng dành của anh chàng phát triển mã độc này cũng được phát hành trên App Store, nhưng không chứa phần mềm quảng cáo Ashas
Kênh YouTube của anh chàng cũng được tìm ra
Tài khoản facebook
Trang Facebook được quản lý bởi người đăng ký tên miền C & C mang tên (minigameshouse) có số điện thoại được đăng ký trên C & C sử dụng phần mềm quảng cáo Ashas
Ảnh chụp màn hình trên kênh Video YouTube của anh chàng cho thấy lịch sử kiểm tra phần mềm quảng cáo Ashas trên Google Play
Stefanko từ ESET đã báo cáo các ứng dụng độc hai này với nhóm bảo mật của Google , chúng đã bị xóa hỏi nền tảng Play Store.
Nếu bạn đã tải xuống bất kỳ ứng dụng giả mạo độc hại nào trên hình ảnh hãy xóa ngay lập tức .
Đinh Quang Vinh tổng hợp tham khảo welivesecurity ESET
Theo ESET, ban đầu không phải tất cả ứng dụng đều chứa mã Ashas. Các ứng dụng được xây dựng và đăng tảilên store bằng tài khoản của một doanh nghiệp phát triển ứng dụng hợp pháp. Nhưng ngay sau đó, các bản cập nhật mới được sinh viên này chèn thêm những đoạn mã Ashas. Các đoạn mã này ra lệnh hiển thị nhiều quảng cáo toàn màn hình, phủ lên tất cả những ứng dụng khác, ép người dùng xem và nhấp vào quảng cáo, gây ức chế và tiềm ẩn nhiều rủi ro.
Các ứng dụng này đều được liên kết tới một tên miền được đăng ký công khai giúp tìm ra danh tính của anh chàng này , bao gồm tên thật, địa chỉ và số điện thoại của anh ta, tài khoản cá nhân của anh ta trên Facebook, GitHub và YouTube.
Hàng loạt chứng cứ được phát hiện
Ứng dụng nhận dữ liệu được cấu hình từ máy chủ C & C, để hiển thị quảng cáo , tàng hình , tự phục hồi.
Mánh khóe giúp ứng dụng tàng hình và tự phục hổi
Thời gian trễ giúp trì hoãn hiển thị quảng cáo được triển khai bởi phần mềm quảng cáo
Phần mềm quảng cáo mạo danh Facebook (bên trái). Nếu người dùng nhấn và giữ biểu tượng, tên của ứng dụng sẽ được tiết lộ (phải).
Mã độc hại được ẩn trong gói có tên là com.google
Thông tin tên miền C & C sử dụng mã quảng cáo Ashas
Thông tin có thể được làm giả nhưng bên ESET truy tìm ra cả các thông tin danh sách các sinh viên đang theo học tại một trường đại học Việt Nam - chứng thực sự tồn tại danh tính người đăng ký sử dụng tên miền C&C .
Các ứng dụng dành của anh chàng phát triển mã độc này cũng được phát hành trên App Store, nhưng không chứa phần mềm quảng cáo Ashas
Kênh YouTube của anh chàng cũng được tìm ra
Tài khoản facebook
Trang Facebook được quản lý bởi người đăng ký tên miền C & C mang tên (minigameshouse) có số điện thoại được đăng ký trên C & C sử dụng phần mềm quảng cáo Ashas
Ảnh chụp màn hình trên kênh Video YouTube của anh chàng cho thấy lịch sử kiểm tra phần mềm quảng cáo Ashas trên Google Play
Stefanko từ ESET đã báo cáo các ứng dụng độc hai này với nhóm bảo mật của Google , chúng đã bị xóa hỏi nền tảng Play Store.
Nếu bạn đã tải xuống bất kỳ ứng dụng giả mạo độc hại nào trên hình ảnh hãy xóa ngay lập tức .
Đinh Quang Vinh tổng hợp tham khảo welivesecurity ESET
