Khi tải xuống ứng dụng cho Android, thông thường chỉ sử dụng ứng dụng Google Play. Sau cùng, ai biết loại phần mềm độc hại nào được gói trong các ứng dụng được tải xuống từ các trang web ngẫu nhiên? Như vậy, Google Play đã là nơi tiếp cận để tải xuống ứng dụng an toàn và đáng tin cậy. Thật không may, trong khi đó là nơi tốt nhất để có được ứng dụng, nó chắc chắn không phải là hoàn hảo!

Gần đây nó đã được phát hiện ra rằng một phần mềm độc hại Android, được gọi là FalseGuide, quản lý để lây nhiễm lên đến 2 triệu điện thoại Android. Làm thế nào nó làm được điều này, và nó có ý nghĩa gì đối với các ứng dụng nói chung?

Phương pháp

Tên "FalseGuide" cho biết cách ứng dụng được phân phối. Chúng được viết hoa trên các ứng dụng hướng dẫn trò chơi, một tập hợp con các ứng dụng phổ biến trên cửa hàng Android. Game thủ luôn tìm kiếm hướng dẫn cho các trò chơi mà họ chơi, hoặc vì nó khó hoặc có cơ chế ẩn. Trong khi tìm kiếm hướng dẫn trực tuyến là không có sự đổi mới mới, các ứng dụng đã đưa chúng vào một định dạng tương tác mới. Điều này có nghĩa là các game thủ trên toàn thế giới đang truy cập Google Play cho các ứng dụng để giúp họ đánh bại các trò chơi họ đang chơi.

Các nhà phát triển phần mềm độc hại bị buôn lậu trong FalseGuide bằng cách giả mạo nó làm hướng dẫn trò chơi. Những hướng dẫn độc hại này được viết cho các mục phổ biến, chẳng hạn như Terraria và World of Tanks, để đảm bảo phân phối tối đa. Sau khi tải lên, họ chỉ đơn giản là phải chờ mọi người tải xuống các hướng dẫn của hàng nghìn người. Những dấu hiệu đầu tiên cho thấy điều gì đó không ổn định trong thế giới hướng dẫn trò chơi xuất hiện vào ngày 24 tháng 4 năm 2017 nhưng ứng dụng cũ nhất được tìm thấy với phần mềm độc hại đã được tải lên Google Play vào ngày 14 tháng 2 năm 2017. Điều này có nghĩa là phần mềm độc hại có thời gian rảnh lưu hành giữa các thiết bị.

Theo như thực sự phân phối phần mềm độc hại, việc truy cập Google Play khiến việc phân phối phần mềm độc hại trở nên vô cùng dễ dàng. Bằng cách buôn lậu phần mềm độc hại trong hướng dẫn cho các trò chơi phổ biến, mọi người cho rằng bởi vì nó đã có trên Google Play nên tải xuống an toàn 100%. Theo giả định sai rằng cửa hàng Play không thể sai được, mọi người đã tải xuống ứng dụng mà không cần suy nghĩ lại, lây nhiễm các thiết bị của riêng họ bằng FalseGuide. Thông qua điều này, FalseGuide quản lý để đất trên 2 triệu thiết bị trong không gian của 2 tháng.

Có thể tìm thấy danh sách đầy đủ các ứng dụng được phát hiện có phần mềm độc hại ở gần cuối bài viết Điểm chính thức.

What Does FalseGuide làm gì?

Mỗi phần mềm độc hại đều có mục đích. Từ việc ăn cắp thông tin đến việc gây sát thương đơn giản, mọi đòn tấn công nguy hiểm đều có động lực đằng sau nó. Mục tiêu của FalseGuide bây giờ là nó có 2 triệu thiết bị cầm nắm của nó là gì?

Các mục tiêu của FalseGuide như sau:

  1. Người dùng tìm và bắt đầu tải xuống hướng dẫn trò chơi bị nhiễm trên điện thoại của họ. Ứng dụng yêu cầu quyền cài đặt "quản trị thiết bị" để có thể thực hiện nhiệm vụ của mình. Người dùng chấp nhận điều này và cài đặt ứng dụng.
  2. FalseGuide, hiện có quyền quản trị thiết bị, tự thiết lập để người dùng không thể xóa nó.
  3. FalseGuide sau đó tự đăng ký dịch vụ được gọi là "Nhắn tin qua đám mây của Firebase" mà người dùng không biết. Đây là dịch vụ cho phép nhà phát triển ứng dụng gửi tin nhắn và thông báo tới ứng dụng của họ và được phát triển với mục đích vô tội. FalseGuide định vị và đăng ký một chủ đề chia sẻ cùng tên với ứng dụng được phân phối trong đó, sau đó đợi thêm hướng dẫn.
  4. Thông qua chủ đề Firebase, FalseGuide có thể nhận tin nhắn từ các nhà phát triển phần mềm độc hại để cài đặt và chạy các lệnh độc hại.

Kết quả là một phần mềm độc hại không thể xóa được mà lắng nghe và thực hiện các lệnh được nhà phân phối của nó gán cho nó. Các lệnh này có thể từ cài đặt phần mềm quảng cáo trên điện thoại để khởi động các cuộc tấn công DDoS trên các máy chủ nạn nhân. Tóm lại, FalseGuide cung cấp cho nhà phân phối phần mềm độc hại sự tự do để làm khi nó hài lòng với thiết bị của người dùng.

Làm thế nào nó đã được chấp nhận?

Vấn đề với các ứng dụng như FalseGuide là chúng được cải trang thành các ứng dụng vô tội, sau đó chúng trở nên độc hại sau khi chúng được cài đặt. Điều này được thực hiện bằng cách đảm bảo ứng dụng cơ sở chứa mã không có mã độc. Điều đó có nghĩa là "ứng dụng của nhà cung cấp dịch vụ" sẽ vượt qua tầm kiểm tra của Google Play mà không phát hiện phần mềm độc hại nào.

Chỉ sau khi được cài đặt trên thiết bị trong một thời gian dài, nó sẽ nhận được hướng dẫn thông qua Firebase. Những hướng dẫn sau đó cung cấp cho ứng dụng mã độc hại mà phần mềm độc hại yêu cầu để hoạt động. Điều này cho phép các botnet như FalseGuide tự thiết lập trên Google Play trong khi trượt dưới chế độ phát hiện chống phần mềm độc hại nghiêm ngặt.

Tiến về phía trước

Trong sự trỗi dậy của một botnet được thiết lập dưới mũi của Google, những gì chúng ta có thể, như những người sử dụng, làm gì để tránh những cuộc tấn công?

Trước tiên, nếu bạn nghi ngờ điện thoại của mình bị tấn công bằng FalseGuide, hãy đảm bảo tải xuống và chạy một giải pháp chống vi-rút đáng tin cậy cho Android. Nếu bạn không chắc chắn về những gì an toàn và không có gì, chúng tôi đã chạy danh sách các ứng dụng chống vi-rút được đề xuất để bạn thử.

Bất kể bạn có bị nhiễm hay không, câu chuyện này là một lời nhắc nhở phải thận trọng với thiết bị Android của bạn. Mặc dù Google Play là nơi an toàn nhất để tải xuống ứng dụng, nhưng nó chắc chắn không hoàn hảo! Luôn đọc cửa sổ bật lên “Quyền thiết bị” và đảm bảo ứng dụng không yêu cầu đến những nơi không được phép. Nếu một ứng dụng đơn giản bắt đầu yêu cầu quyền truy cập vào các khu vực quan trọng của điện thoại, không cài đặt nó.

Người dùng sai lầm

Với hơn 2 triệu thiết bị bị nhiễm, FalseGuide là một câu chuyện cảnh báo về cách không cho rằng các ứng dụng an toàn 100% hoàn toàn bởi vì chúng nằm trong một cửa hàng ứng dụng chính thức. Bây giờ bạn biết cách hoạt động của FalseGuide, cách nó quản lý để lây lan và cách tránh một cuộc tấn công tương tự trong tương lai.

Bạn đã bao giờ bị nhiễm bởi một ứng dụng từ một cửa hàng ứng dụng chính thức chưa? Hãy kể cho chúng tôi những câu chuyện của bạn trong phần bình luận!