Google đã loại bỏ 9 ứng dụng Android với hơn 5,8 triệu lượt tải xuống khỏi CH Play sau khi các nhà nghiên cứu bảo mật của Dr. Web đã phát hiện ra các ứng dụng này chứa mã độc được sử dụng để đánh cắp thông tin đăng nhập Facebook.
“Các ứng dụng hoạt động như một ứng dụng bình thường với các chức năng như chỉnh sửa ảnh, video… việc này làm mất cảnh giác người dùng. Để truy cập tất cả các chức năng của ứng dụng và để tắt quảng cáo trong ứng dụng, người dùng được nhắc cần đăng nhập vào tài khoản Facebook. Các quảng cáo được Hacker cho hiển thị liên tục nhằm kích thích người dùng cần phải tắt quảng cáo để tránh làm phiền.
Các ứng dụng che giấu ý định độc hại bằng cách ngụy trang thành các chương trình chỉnh sửa ảnh, trình tối ưu hóa, thể dục và chiêm tinh, chỉ để lừa nạn nhân đăng nhập vào tài khoản Facebook và chiếm đoạt thông tin đăng nhập đã nhập thông qua một đoạn mã JavaScript được lưu trên máy chủ của Hacker
- PIP Photo (>5,000,000 lượt tải)
- Processing Photo (>500,000 lượt tải)
- Rubbish Cleaner (>100,000 lượt tải)
- Horoscope Daily (>100,000 lượt tải)
- Inwell Fitness (>100,000 lượt tải)
- App Lock Keep (50,000 lượt tải)
- Lockit Master (5,000 lượt tải)
- Horoscope Pi (>1,000 lượt tải)
- App Lock Manager (10 lượt tải)
Thông tin đăng nhập Facebook bị đánh cắp đã được chuyển đến máy chủ bằng cách sử dụng các ứng dụng Trojan. Các nhà phân tích đã xác định được 5 biến thể phần mềm độc hại ẩn bên trong các ứng dụng này: Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.15, dành cho các ứng dụng Android và Android.PWS.Facebook.17, Android.PWS.Facebook.18, được thiết kế để tương thích đa nền tảng. Các mã độc Trojan này đểu sử dụng chung phương pháp, mã nguồn và định dạng file gần như giống nhau để đánh cắp dữ liệu người dùng, nên Dr.Web phân loại cả năm là cùng một loại trojan.
Những trojan này đã sử dụng một cơ chế đặc biệt để lừa nạn nhân. Sau khi nhận được các cài đặt cần thiết từ một trong các máy chủ C&C khi khởi chạy, ứng dụng sẽ tải trang đăng nhập Facebook. Tiếp theo, ứng dụng sẽ tải JavaScript nhận được từ máy chủ C&C. Đoạn mã lệnh này đã được sử dụng để chiếm đoạt thông tin đăng nhập Facebook của người dùng.
Sau đó, JavaScript này sẽ chuyển thông tin đăng nhập và mật khẩu bị đánh cắp cho các ứng dụng trojan, sau đó chuyển dữ liệu đến máy chủ C&C của kẻ tấn công. Sau khi nạn nhân đăng nhập vào tài khoản, trojan cũng lấy luôn cookie người dùng và gửi về cho Hacker.
Mặc dù các ứng dụng này nhắm đến để lấy thông tin người dùng Facebook, nhưng theo Dr. Web cuộc tấn công này có thể dễ dàng mở rộng quy mô để lừa người dùng đăng nhập vào các Website khác nhằm đánh cắp dữ liệu.
Có thể vì các ứng dụng này mà cách đây vài ngày Google công bố các yêu cầu mới cho CH Play, như việc yêu cầu tài khoản nhà phát triển bật Xác minh 2 bước (2SV), cung cấp địa chỉ và xác minh chi tiết liên hệ của tác giả ứng dụng nhằm hạn chế việc gian lận của các nhà phát triển ứng dụng.
Hiện nay, tất cả 9 ứng dụng này không còn xuất hiện trong kết quả tìm kiếm trên CH Play. Người phát ngôn của Google nói với Ars Technica rằng các nhà phát triển đằng sau các ứng dụng này cũng đã bị cấm sử dụng nền tản CH Play để đăng tải ứng dụng.