Google Play, chợ ứng dụng chính thức trên Android, mới đây vừa bị phát hiện lưu chứa một ứng dụng ransomware đòi tiền chuộc những người dùng. Ransomware có tên gọi là Charger và bị ẩn bên trong một ứng dụng có tên EnergyRescue, theo bài đăng trên blog của hãng bảo mật Check Point Software. Một khi được cài đặt trên thiết bị, Charger ăn cắp tin nhắn SMS của bạn đồng thời hiển thị một dấu nhắc yêu cầu người dùng cho phép nó truy cập các quyền quản trị. Nếu người dùng không cảnh giác và click vào nút OK để chấp thuận, ứng dụng độc hại này sẽ khoá thiết bị và hiển thị tin nhắn với nội dung: Bạn cần phải trả tiền cho chúng tôi, nếu không, cứ mỗi 30 phút chúng tôi sẽ bán một phần thông tin cá nhân của bạn trên thị trường chợ đen. Chúng tôi đảm bảo 100% sẽ trả lại tất cả các file của bạn ngay sau khi nhận được tiền. Chúng tôi sẽ mở khoá máy và xoá toàn bộ dữ liệu của bạn khỏi máy chủ. Bạn cũng đừng tắt máy bởi điều đó là vô dụng. Tất cả dữ liệu đã được lưu trên các máy chủ của chúng tôi. Chúng tôi vẫn có thể bán nó cho các mục đích như spam, giả mạo, tội phạm ngân hàng… Chúng tôi tổng hợp và tải về tất cả dữ liệu của bạn. Tất cả thông tin về tài khoản mạng xã hội, ngân hàng, thẻ tín dụng. Chúng tôi cũng thu thập cả dữ liệu về bạn bè và gia đình bạn nữa. Ứng dụng độc hại này yêu cầu người dùng trả 0,2 Bitcoin, tương đương khoảng 180 USD. Theo các nhà nghiên cứu của Check Point, nó tồn tại trên Google Play trong 4 ngày và chỉ thu được một ít lượt tải về. "Chúng tôi tin hacker chỉ mới muốn thử nghiệm chứ chưa phổ biến phương thức tấn công mới này" - Check Point cho biết. Charger bị phát hiện bởi phần mềm chống malware do hãng này phát triển; còn Google hiện đã gỡ app độc hại này khỏi Play Store. Hãng tìm kiếm cũng không quên cảm ơn Check Point vì đã có công phát hiện và báo cáo. Tìm cách ẩn mình Một phân tích cho thấy, Charger sẽ kiểm tra vị trí của thiết bị của nạn nhân, và nếu phát hiện thiết bị ở tại Ukraine, Nga, hay Belarus, vụ tấn công sẽ bị huỷ bỏ. Có lẽ, hacker làm điều này để tránh nguy cơ bị cảnh sát điều tra ở 3 quốc gia trên. Trên blog, các nhà nghiên cứu của Check Point cũng nói thêm: Hầu hết malware được tìm thấy trên Google Play chỉ chứa 1 dropper và về sau dropper này sẽ tải về thiết bị các thành phần độc hại thực thụ. Charger, tuy nhiên, sử dụng một giải pháp khiến malware khó ẩn mình. Vì vậy, các hacker đứng đằng sau Charger phải sử dụng nhiều kỹ thuật để tồn tại trên Google Play trong thời gian lâu nhất có thể. Malware này dùng nhiều kỹ thuật tiên tiến để che giấu ý định thực của nó và khiến các nhà nghiên cứu bảo mật gặp khó khăn trong việc phát hiện. Các kỹ thuật này gồm: Encode các chuỗi thành các mảng nhị phân, giúp malware khó bị kiểm tra hơn. Load code từ các nguồn được mã hoá động (dynamically) khiến hầu hết các công cụ nhận diện malware không thể thâm nhập và điều tra. Malware sẽ kiểm tra xem liệu nó đang được chạy trong 1 máy ảo hay không, trước khi bắt đầu các hoạt động lừa đảo người dùng. Kỹ thuật này lần đầu tiên xuất hiện trên malware PC và giờ đây trở thành 1 xu hướng trên di động. Hồi năm 2012, Google ra mắt một máy quét mã độc nền đám mây có tên Bouncer nhằm ngăn ứng dụng độc hại xuất hiện trên Play Store. 5 năm sau, những vụ phát hiện ra ứng dụng độc hại giống Charger xuất hiện một cách thường xuyên, còn Google thì hầu như không còn nhắc tới Bouncer nữa. Sự vụ với Charger một lần nữa nhấn mạnh tới các nguy cơ bảo mật xuất phát từ các ứng dụng được lưu trên chính các máy chủ của Google. Cách đây chưa lâu, chính Check Point cũng đã phát hiện ra sự trở lại của dòng malware HummingBad trên Play Store, sau khi malware ẩn mình trong các ứng dụng có từ 2 triệu tới 12 triệu lượt tải về trước khi bị phát hiện và gỡ bỏ. Tham khảo ICTNews