Sau khi được cài đặt, Advanced Battery Saver sẽ lấy trộm toàn bộ số điện thoại, dữ liệu về GPS và tin nhắn SMS nhận được cũng sẽ được gửi thẳng về máy chủ – đây là mấu chốt quan trọng nhất bởi hành động này là hoàn toàn vi phạm pháp luật và thông tin đánh cắp được có thể bị kẻ xấu sử dụng để tống tiền nạn nhân.
Trong bài đăng blog ngày 21 tháng này, công ty bảo mật RiskIQ cho biết đã phát hiện một ứng dụng chứa mã độc cho phép lấy trộm rất nhiều thông tin nhạy cảm như số danh bạ và tin nhắn từ điện thoại Android cài ứng dụng. Điều đáng nói là công cụ cho mục đích xấu của hacker hiện đang tồn tại trên kho ứng dụng chính thức Play Store của Android dưới cái tên “Advanced Battery Saver” với vỏ bọc là ứng dụng giúp tối ưu hóa thời lượng pin.
Advanced Battery Saver, theo bài đăng trên blog của RiskIQ, sẽ ăn cắp thông tin cá nhân từ nạn nhân và tạm thời chiếm quyền kiểm soát điện thoại Android để thu lợi từ quảng cáo. Sau khi được cài đặt, Advanced Battery Saver sẽ lấy trộm toàn bộ số điện thoại, dữ liệu về GPS và tin nhắn SMS nhận được cũng sẽ được gửi thẳng về máy chủ – đây là mấu chốt quan trọng nhất bởi hành động này là hoàn toàn vi phạm pháp luật và thông tin đánh cắp được có thể bị kẻ xấu sử dụng để tống tiền nạn nhân.
Đáng ngạc nghiên, các nhà nghiên cứu tại RiskIQ cho biết ứng dụng này hoạt động đúng với những gì đã miêu tả: Đó là giảm tác vụ sử dụng pin, cải thiện thời lượng dùng điện thoại và ngừng các tác vụ xử lý tốn tài nguyên không cần thiết. Tuy nhiên bên cạnh đó, nó còn đòi cấp phép đọc SMS, truy cập vị trí điện thoại để ăp cắp dữ liệu.
Chưa dừng lại ở đó, Advanced Batter Saver còn sử dụng một phông nền “ad-clicker” để lừa người dùng bấm vào quảng cáo, hòng tạo lợi nhuận cho kẻ đã viết malware này. Aaron Inness và Yonathan Klijnsma, hai nhà nghiên cứu tại công ty bảo mật, cho biết: Một số quảng cáo sau khi lừa được người dùng bấm vào sẽ tự động gửi tin nhắn SMS cơ bản hoặc SMS cao cấp (loại tin nhắn SMS có phí từ 10.000 đồng đến 15.000 đồng). Hacker sau đó tạo kết nối ID tin nhắn SMS tới ID của quảng cáo – từ đó thu được tiền.
Ứng dụng độc Advanced Batter Saver hiện vẫn đang có mặt trên Play Store và đã cài đặt thành công trên 60.000 thiết bị toàn cầu. Theo báo cáo từ HackRead, con số trên cho thấy chiến dịch malware này đã kiếm về cho các hacker mũ đen một khoản lợi nhuận không nhỏ từ nạn nhân ít am hiểu công nghệ.
Nếu đã lỡ cài đặt Advanced Batter Saver trên thiết bị Android của mình, bạn hãy ngay lập tức gỡ cài đặt ứng dụng, sau đó chạy một phần mềm quét malware có sẵn trong máy hoặc một ứng dụng tin cậy để truy quét các đoạn mã độc còn sót lại.
Trong một diễn biến khác, Express.co.uk cũng đã đưa tin về hàng loạt ứng dụng có mặt trên Google Play Store bị các chuyên gia bảo mật phát hiện thu thập dữ liệu nhạy cảm của người dùng.
Vụ đánh cắp dữ liệu được phát hiện và miêu tả như một “chiến dịch gián điệp khổng lồ” bởi nhà đồng sáng lập Adguard Andrey Meshkov. Theo nghiên cứu của Meshkov, chiến dịch thu thập dữ liệu đã ảnh hưởng tới không chỉ nền tảng Android mà còn lan sang cả các ứng dụng cài thêm dành cho Google Chrome trên PC. Theo đó, một khi nạn nhân đăng nhập vào tài khoản Facebook trên Chrome, extension của trình duyệt sẽ ngay lập tức đánh cắp dữ liệu sau khi trình duyệt khởi động. Meshkov còn nói thêm ngoài toàn bộ dữ liệu Facebook bị đánh cắp, extension chứa mã độc trên Chrome còn đọc toàn bộ lịch sử giao dịch của nạn nhân. Các dữ liệu bị nhắm vào bao gồm bài đăng, bài đăng quảng cáo, tweet trên Twitter, danh sách các video và quảng cáo trên YouTube nạn nhân từng xem.
Lượng dữ liệu trên sau khi bị đánh cắp sẽ được gửi thẳng đến một công ty bên thứ ba có tên Unimania sau đó được đem bán cho các bên khác để kiếm lợi nhuận. Adguard một số ứng dụng Android trên Play Store đã bị phát hiện có hành vi tương tự extension mở rộng trên Chrome. Một trong số những ứng dụng bị nhiễm malware là hai client dành cho Facebook của cùng một nhóm nhà phát triển có tên Fast Fast Lite, vốn có lần lượt hơn 10 triệu lượt tải về và 1 triệu lượt tải về trên Play Store.
Công Minh (theo express.co.uk)
