Phần mềm độc hại Joker tấn công người dùng Android thông qua ứng dụng Color Message

Theo các chuyên gia bảo mật, ngay cả khi một ứng dụng trông có vẻ an toàn, vẫn có khả năng ứng dụng đó chứa phần mềm độc hại. Ngay cả khi Google ngăn chặn bằng cách vá các lỗ hổng, tin tặc vẫn tìm ra những cách mới để đưa các ứng dụng độc hại vào cửa hàng Google Play. Trên thực tế, các nhà bảo mật đã tìm thấy phần mềm độc hại Joker trong một ứng dụng phổ biến trên Google Play.

Ứng dụng này có tên là Color Message và hơn 500.000 người dùng Android đã cài đặt ứng dụng này vào thời điểm Pradeo tìm thấy nó. Trên Store của Google, ứng dụng tuyên bố sẽ giúp người dùng cá nhân hóa chủ đề của trình nhắn tin mặc định của họ. Đáng kinh ngạc là Color Message đã có xếp hạng 4,1 / 5 trên Google Play vào thời điểm phát hiện với gần 2.000 lượt đánh giá. Vì thế không quá ngạc nhiên khi thấy ứng dụng này phổ biến.

Tin tốt là Google đã loại bỏ Color Message khỏi cửa hàng ứng dụng dành cho thiết bị di động của mình. Nhưng điều đó không giúp những nạn nhân đã tải xuống ứng dụng này ngay từ đầu. Hãy hoàn toàn chắc chắn rằng chưa cài đặt ứng dụng trên bất kỳ thiết bị nào của mình. Điều này trở nên khó khăn hơn bởi thực tế là Color Message có khả năng ẩn biểu tượng ứng dụng của nó sau khi người dùng cài đặt nó. Do đó có thể phải tìm hiểu kỹ cài đặt của thiết bị để gỡ cài đặt ứng dụng.

Theo các chuyên gia bảo mật sau khi ứng dụng được cài đặt, nó có thể truy cập vào danh bạ và lấy cắp nó. Color Message cũng sẽ tự ý đăng ký các dịch vụ trả phí mà không có sự cho phép của người dùng.

Các nhà nghiên cứu lần đầu tiên phát hiện ra phần mềm độc hại Joker vào năm 2017. Trong những năm kể tiếp, phần xuất hiện lẻ tẻ trong các ứng dụng dường như vô hại trên Google Play.

Dưới đây là một số ứng dụng khác có chứa Joker mà Pradeo đã phát hiện ra trong những tháng gần đây. Không có ứng dụng nào trong số này vẫn còn trên Store ứng dụng Android, nhưng có thể đã tải trên điện thoại hoặc máy tính bảng của mình trước đó.

- Safety AppLock
- Convenient Scanner 2
- Push Message-Texting&SMS
- Emoji Wallpaper
- Separate Doc Scanner
- Fingertip GameBox

Theo các nhà bảo mật, nếu có những ứng dụng đó trên thiết bị hãy xóa tất cả chúng càng sớm càng tốt để tránh bị đánh cắp dữ liệu hoặc tiền.

Theo tìm hiểu được biết, phần mềm độc hại lừa đảo Joker là phần mềm ẩn mình sau lớp mặt nạ của 1 phần mềm xác thực và nhắm mục tiêu vào những người sử dụng không biết. Người dùng cũng có thể có thể thấy phần mềm độc hại Joker mang tên Bread, cả 2 đều giống nhau.

Trước đó vào năm 2017 Google đã gặp phải mối dọa dẫm này và nó luôn là một vấn đề đang diễn ra. Các tin tặc đứng sau phần mềm độc hại Joker liên tiếp tìm cách thao túng các lỗ hổng bảo mật Google Play Store, cấp phép phần mềm độc hại được ngụy trang mà khỏi bị phát hiện

Các tác giả của Joker đã có một số phương pháp để đưa ứng dụng nhiễm virus băng qua các giao thức bảo mật trong Play Store. Trên thực tế, chúng thậm chí còn tạo ra một phiên bản ứng dụng không có phần mềm độc hại, upload nó lên Google Play Store và sau đó cài đặt phần mềm độc hại trên thiết bị của nạn nhân bằng phương pháp che giấu nó dưới dạng một bản cập nhật ứng dụng.

Khi cài đặt một phần mềm bị nhiễm phần mềm độc hại Joker, nó sẽ đăng ký tùy chọn trả phí mà không có sự cấp phép của người dùng. Vấn đề còn xấu đi khi ứng dụng độc hại Joker có thể giữ danh bạ, lời nhắn SMS và tin tức thiết bị. Rất khó để lấy lại tiền sau khi trở thành nạn nhân của trò lừa đảo này.

Loại ứng dụng độc hại Joker đầu tiên chủ đạo dựa vào gian lận SMS. Bằng cách gửi lời nhắn SMS đến một số cấp cao từ điện thoại. Ứng dụng độc hại Joker sẽ đăng ký hoặc thực hành các khoản phải trả mà người dùng không biết. Vì các dịch vụ cao cấp và gói thuê bao này thường được hợp tác với nhà mạng di động nên dễ thấy các khoản phí không mong muốn trên hóa đơn điện thoại di động của mình.

Đầu năm 2019, Google đã thắt chặt các có hạn đối với những ứng dụng đòi hỏi truy cập nhật ký cuộc gọi hoặc SMS của người dùng. Nhờ thay đổi về chủ trương này, nhiều ứng dụng bị nhiễm Joker đã được phát hiện và sau đó bị xóa khỏi Play Store. Việc tiến hành Google Play Protect cũng đã giúp giữ an toàn cho các thiết bị Android.

Bất chấp những nỗ lực của Google, phần mềm độc hại Joker vẫn tồn tại. Nghiên cứu của Check Point đã tìm ra một loại ứng dụng độc hại Joker mới, cũng thi hành hành vi gian dối như lần trước. Thay vì gian lận SMS, giờ đây, nó sử dụng một thủ thuật cũ hay thấy trong phần mềm độc hại của Windows.

Sau khi được cài đặt trên thiết bị, phần mềm độc hại Joker tải xuống file DEX thực thi từ máy server lãnh đạo và kiểm soát. Code này được sử dụng để bí mật đăng ký tùy chọn cao cấp. Sau đó, nó triển khai để ngăn thông báo xác nhận đăng ký xuất hiện trên điện thoại của nạn nhân.

An Dương (T/h)