google play – Trung tâm quản trị mạng và an ninh mạng quốc tế Athena https://athena.edu.vn Trung tâm quản trị mạng và an ninh mạng quốc tế Athena Mon, 13 Jan 2020 03:02:52 +0000 vi hourly 1 https://wordpress.org/?v=6.8.2 https://athena.edu.vn/content/uploads/2019/08/cropped-favico-1-32x32.png google play – Trung tâm quản trị mạng và an ninh mạng quốc tế Athena https://athena.edu.vn 32 32 Android Trojan vô hiệu hóa Google Play Protect, phát tán đánh giá ứng dụng giả mạo https://athena.edu.vn/android-trojan-vo-hieu-hoa-google-play-protect-phat-tan-danh-gia-ung-dung-gia-mao/?utm_source=rss&utm_medium=rss&utm_campaign=android-trojan-vo-hieu-hoa-google-play-protect-phat-tan-danh-gia-ung-dung-gia-mao Mon, 13 Jan 2020 03:02:52 +0000 http://athena.edu.vn/?p=5301 https://www.bleepstatic.com/content/hl-images/2019/08/29/0_android-malware.jpg

Một chủng phần mềm độc hại Android được ngụy trang dưới dạng một ứng dụng hệ thống được sử dụng bởi các tác nhân đe dọa để vô hiệu hóa dịch vụ Google Play Protect, tạo đánh giá giả, cài đặt ứng dụng độc hại, hiển thị quảng cáo và hơn thế nữa.

Phần mềm độc hại bị che khuất nặng nề có tên là Trojan-Dropper.AndroidOS.Shopper.a sử dụng biểu tượng hệ thống và tên ConfigAPK giống với tên của dịch vụ Android hợp pháp chịu trách nhiệm cấu hình ứng dụng khi lần đầu tiên thiết bị được khởi động.

“Trojan-Dropper.AndroidOS.Shopper.a phổ biến nhất ở Nga, nơi tỷ lệ người dùng bị nhiễm bệnh lớn nhất (28,46%) được ghi nhận vào tháng 10 – 11 năm 2019”, nhà nghiên cứu của Kaspersky Lab, ông Igor Golovin nói. “Vị trí thứ hai thuộc về Brazil (18,70%) và thứ ba là Ấn Độ (14,23%).”

https://www.bleepstatic.com/images/news/u/1109292/2020/Shopper_a-spread.png

Dịch vụ khuyến mãi độc hại

Khi thiết bị này lây nhiễm vào thiết bị Android của nạn nhân, phần mềm độc hại sẽ tải xuống và giải mã tải trọng, sau đó chuyển thẳng đến thu thập thông tin, thu thập thông tin thiết bị như quốc gia, loại mạng, nhà cung cấp, kiểu điện thoại thông minh, địa chỉ email, IMEI và IMSI.

Tất cả dữ liệu này sau đó được chuyển đến các máy chủ của nhà khai thác sẽ gửi lại một loạt các lệnh sẽ được chạy trên điện thoại thông minh hoặc máy tính bảng bị nhiễm.

Những kẻ tấn công sẽ sử dụng Trojan Shopper.a để tăng xếp hạng các ứng dụng độc hại khác trên Play Store, đăng các đánh giá giả mạo về bất kỳ mục nào của ứng dụng, cài đặt các ứng dụng khác từ Cửa hàng Play hoặc cửa hàng ứng dụng của bên thứ ba dưới vỏ bọc “vô hình” “Cửa sổ.

Tất cả điều này được thực hiện bằng cách lạm dụng Dịch vụ trợ năng, một chiến thuật đã biết được sử dụng bởi phần mềm độc hại Android để thực hiện một loạt các hoạt động độc hại mà không cần tương tác của người dùng [1, 2, 3, 4]. Nếu nó không có quyền truy cập dịch vụ, Trojan sẽ sử dụng lừa đảo để lấy chúng từ chủ sở hữu thiết bị bị xâm nhập.

Phần mềm độc hại cũng vô hiệu hóa dịch vụ bảo vệ mối đe dọa di động Google Play Protect, bảo vệ phần mềm độc hại tích hợp Android của Google, để nó có thể đi vào hoạt động kinh doanh mà không bị xáo trộn.

“Google Play Protect quét hơn 50 tỷ ứng dụng mỗi ngày trên hơn hai tỷ thiết bị”, theo báo cáo Đánh giá năm 2018 của Android Security & Privacy 2018 được công bố vào tháng 3 năm 2019.

https://www.bleepstatic.com/images/news/u/1109292/2020/Shopper_a-receiving-commands.png

“Việc thiếu quyền cài đặt từ các nguồn của bên thứ ba không phải là trở ngại đối với Trojan – nó tự cung cấp các quyền cần thiết thông qua Dịch vụ trợ năng”, nhà nghiên cứu của Kaspersky Lab, ông Igor Golovin giải thích.

“Với sự cho phép sử dụng nó, phần mềm độc hại có khả năng tương tác vô hạn với các ứng dụng và giao diện hệ thống. Chẳng hạn, nó có thể chặn dữ liệu hiển thị trên màn hình, nhấp vào nút và mô phỏng cử chỉ của người dùng.”

Tùy thuộc vào những lệnh mà nó nhận được từ chủ của mình, Shopper.a có thể thực hiện một hoặc nhiều tác vụ sau:

  • Open links received from the remote server in an invisible window (whereby the malware verifies that the user is connected to a mobile network).
  • After a certain number of screen unlocks, hide itself from the apps menu.
  • Check the availability of Accessibility Service rights and, if not granted, periodically issue a phishing request to the user to provide them.
  • Disable Google Play Protect.
  • Create shortcuts to advertised sites in the apps menu.
  • Download apps from the third-party “market” Apkpure[.]com and install them.
  • Open advertised apps on Google Play and “click” to install them.
  • Replace shortcuts to installed apps with shortcuts to advertised sites.
  • Post fake reviews supposedly from the Google Play user.
  • Show ads when the screen is unlocked.
  • Register users through their Google or Facebook accounts in several apps.

“Tội phạm mạng sử dụng Trojan-Dropper.AndroidOS.Shopper.a để tăng xếp hạng ứng dụng nhất định và tăng số lượng cài đặt và đăng ký,” Golovin nói thêm.

“Tất cả những thứ này có thể được sử dụng, trong số những thứ khác, để lừa các nhà quảng cáo. Hơn nữa, Trojan có thể hiển thị thông điệp quảng cáo trên thiết bị bị nhiễm, tạo lối tắt đến các trang web quảng cáo và thực hiện các hành động khác.”

Trong các tin tức liên quan, Google tiết lộ rằng Play Protect đã phát hiện và xóa khoảng 1.700 ứng dụng bị nhiễm phần mềm độc hại Joker Android (còn được gọi là Bread) khỏi Play Store kể từ khi công ty bắt đầu theo dõi chủng này vào đầu năm 2017.

Để đặt mọi thứ vào viễn cảnh, trong khi bài đánh giá hàng năm về Bảo mật & Quyền riêng tư của Android 2018 không cung cấp chính xác số lượng ứng dụng độc hại đã bị xóa, thì năm 2017, công ty đã “gỡ bỏ hơn 700.000 ứng dụng vi phạm chính sách của Google Play, hơn 70% so với các ứng dụng đã gỡ xuống trong năm 2016. “

Nguồn BleepingComuputer

AEH

Khóa học Chuyên Viên Bảo Mật Mạng – ACST

]]>
Phát hiện một sinh viên Việt Nam đăng tải 42 ứng dụng Android chứa mã độc quảng cáo lên Google Play Store https://athena.edu.vn/phat-hien-mot-sinh-vien-viet-nam-dang-tai-42-ung-dung-android-chua-ma-doc-quang-cao-len-google-play-store/?utm_source=rss&utm_medium=rss&utm_campaign=phat-hien-mot-sinh-vien-viet-nam-dang-tai-42-ung-dung-android-chua-ma-doc-quang-cao-len-google-play-store Fri, 25 Oct 2019 09:41:30 +0000 http://athena.edu.vn/?p=4801 Mới đây, các nhà nghiên cứu bảo mật của hãng ESET đã phát hiện ra một sinh viên đang sống tại Hà Nội, Việt Nam là tác giả của ít nhất 42 ứng dụng chứa mã độc adware để hiển thị quảng cáo tới các nạn nhân nhằm kiếm tiền từ họ trên cửa hàng Google Play Store. Trong số đó, có những ứng dụng đã được tải xuống tới hơn 8 triệu lần. Mã độc mới ẩn trên các ứng dụng Android này được ESET đặt tên là Ashas.

Danh sách các ứng dụng độc hại được ESET phát hiện, bạn nên gỡ ngay khỏi máy nếu đang cài đặt.

Danh sách các ứng dụng độc hại được ESET phát hiện, bạn nên gỡ ngay khỏi máy nếu đang cài đặt.

Theo tìm hiểu của ESET, trong những phiên bản đầu tiên, không phải ứng dụng nào cũng chứa mã đoạn mã độc này. Vì vậy, người này không hề che giấu danh tính của mình trong các ứng dụng đó. Điều này cho thấy, có thể ngay từ đầu sinh viên này có ý định kinh doanh các ứng dụng một cách hợp lệ. Tuy nhiên, kế hoạch đó đã thay đổi và người này bắt đầu tiêm mã độc adware qua các bản cập nhật ứng dụng và danh tính của nhà phát triển vẫn giữ nguyên.

Sau khi xâm nhập vào các ứng dụng qua các bản cập nhật, mã độc adware Ashas hoạt động bằng cách hiển thị quảng cáo trên toàn màn hình và thậm chí là phủ lên trên ứng dụng khác.

Để tránh bị phát hiện, sinh viên Việt Nam còn cẩn thận ngụy trang nguồn gốc của các quảng cáo này bằng cách bắt chước logo của các ứng dụng khác như Facebook, Google và chỉ cho chúng hiện ra sau hơn 24 phút người dùng tương tác với ứng dụng bị nhiễm mã độc.

Một ứng dụng chứa mã độc adware của sinh viên Việt Nam.

Một ứng dụng chứa mã độc adware của sinh viên Việt Nam.

ESET đã lần ra Facebook của sinh viên Việt Nam đã đăng tải các ứng dụng chứa adware.

ESET đã lần ra Facebook của sinh viên Việt Nam đã đăng tải các ứng dụng chứa adware.

ESET đã lần ra các tài khoản cá nhân trên GitHub, YouTube, Faceboook của sinh viên này từ địa chỉ email anh ta sử dụng để đăng ký tên miền cho adware.

Chi tiết về cách ESET lần ra tác giả của các ứng dụng chứa adware này, các bạn có thể xem trong link dưới đây.

https://www.welivesecurity.com/2019/10/24/tracking-down-developer-android-adware/
Các quảng cáo được ngụy trang bằng logo của các ứng dụng khác và hiện ra toàn màn hình.

Các quảng cáo được ngụy trang bằng logo của các ứng dụng khác và hiện ra toàn màn hình.

Hiện tại, các ứng dụng chứa mã độc quảng cáo của sinh viên này đã bị gỡ bỏ trên cửa hàng Google Play Store sau khi ESET thông báo về chúng cho nhóm bảo mật của Google. Mặc dù vậy, các ứng dụng này vẫn tồn tại trên các cửa hàng ứng dụng bên thứ ba.

Nguồn quantrimang.com

]]>
Đừng tin tưởng các ứng dụng VPN trên Google Play, đây là lý do https://athena.edu.vn/dung-tin-tuong-cac-ung-dung-vpn-tren-google-play-day-la-ly/?utm_source=rss&utm_medium=rss&utm_campaign=dung-tin-tuong-cac-ung-dung-vpn-tren-google-play-day-la-ly Fri, 20 Sep 2019 07:26:44 +0000 http://athena.edu.vn/?p=4266 Theo kết quả tìm kiếm trên Google Play Store, có hơn 250 ứng dụng về VPN xuất hiện tuy nhiên không phải ứng dụng nào cũng phù hợp để tải về và sử dụng. Thậm chí, có những ứng dụng VPN bạn nên tránh xa để đảm bảo vấn đề về bảo mật.

cac-ung-dung-vpn-tren-google-play

Các ứng dụng VPN trên Google Play

Trang VPN Selector đã tiến hành nghiên cứu 50 kết quả tìm kiếm đầu tiên về “VPN” trên Google Play và phát hiện ra nhiều ứng dụng VPN không có liên kết đến chính sách bảo mật, có thông tin giới thiệu mơ hồ hoặc có lượt xếp hạng người dùng không đáng tin cậy.

Thông tin về công ty

Đây là tiêu chí đầu tiên được đánh giá bởi địa chỉ trụ sở chính của công ty sẽ cho chúng ta biết ứng dụng đó có thể bị liệt vào khu vực pháp lý không lý tưởng. Có thể bạn chưa biết về một số liên minh tình báo giữa các quốc gia như Liên minh Five-Eyes, Nine-Eyes và 14-Eyes (Hiệp định Vương quốc Anh – Hoa Kỳ – UKUSA Agreement). Liên minh này được thành lập nhằm chia sẻ một lượng lớn dữ liệu tình báo với nhau.

Liên minh tình báo Các nước thành viên
Five Eyes Úc, Canada, New Zealand, Vương quốc Anh, Hoa Kỳ
Nine Eyes Five Eyes và Đan Mạch, Pháp, Hà Lan, Na Uy
14 Eyes Nine Eyes và Bỉ, Đức, Ý, Tây Ban Nha, Thụy Điển

Một số quốc gia như Singapore, Israel, Nhật Bản và Đức cũng được cho là đang hợp tác với Five Eyes.

Một quốc gia bất kỳ là một phần của liên minh này sẽ không phải là địa điểm lý tưởng để các công ty VPN đặt trụ sở. Vì vậy, nếu một ứng dụng VPN nào, có vị trí nằm tại một trong các quốc gia thuộc liên minh này không thể là một lựa chọn lý tưởng trừ khi bạn thích việc bị theo dõi. Trong trường hợp bản thân công ty đó uy tín và bạn không làm gì bất hợp pháp thì mọi thứ có thể vẫn ổn.

Trong số 50 ứng dụng mà VPN Selector điều tra có 8 ứng dụng không thể xác định được vị trí, 16 ứng dụng thuộc về một trong những liên minh trên và 5 ứng dụng có cộng tác với họ.

Điều đáng báo động là một số các ứng dụng VPN dành cho Android không có thông tin gì ngoài địa chỉ Gmail, chính sách bảo mật chung chung, liên kết đến chính sách bảo mật dẫn đến Google Doc với những dòng chữ tiếng Trung hoặc không thể truy cập.

Ví dụ, ứng dụng Wang VPN có số điểm rating cao ngất là 4.9 nhưng thông tin về nhà phát triển và chính sách bảo mật lại không hề có.

Hai ứng dụng Unlimited Free VPN Monster và Snap VPN có các công ty khác nhau liên kết đến nhưng thực tế các công ty này lại là một mà thôi.

Các điều khoản trong chính sách bảo mật cũng khá mập mờ

Các điều khoản trong chính sách bảo mật của các ứng dụng thường sử dụng thuật ngữ mơ hồ, tối nghĩa hoặc có vấn đề với các cụm từ. Ví dụ như một ứng dụng là VPN Russia có điều khoản bảo mật như sau:

“VPN Russia by tap2free thu thập các loại dữ liệu cá nhân gồm: cookies, dữ liệu về quá trình sử dụng thiết bị, các thông tin định danh thiết bị để phục vụ quảng cáo và vị trí địa lý”.

Dữ liệu về quá trình sử dụng thiết bị được nhắc đến ở đây là những dữ liệu gì? Thông tin định danh thiết bị của người dùng được chia sẻ với bên thứ ba nào thì không được đề cập đến.

Các thuật ngữ mơ hồ không phải xuất hiện trên các ứng dụng ở đáy bảng xếp hạng mà tới từ 48 trong số 50 ứng dụng có điểm đánh giá từ người dùng từ 4.0 trở lên, thậm chí 22 ứng dụng trong số đó còn nhận được đánh giá 4.5 trở lên.

Tất cả các ứng dụng này có lượt tải xuống rất cao, đều trên 100.000, thậm chí có ứng dụng còn đạt trên 1.000.000 lượt. Không ai có thể biết được chính xác bao nhiêu lượt tải xuống và đánh giá là giả mạo.

ung-dung-wang-vpn-dat-duoc-hon-200000-luot-tai-xuong.png

Ứng dụng Wang VPN đạt được hơn 200000 lượt tải xuống

Tin tốt là những tên tuổi lớn trong “làng VPN” đều có một chính sách bảo mật nghiêm túc, ví dụ như ExpressVPN, NordVPN, TunnelBear, HotspotShield…

Tuy nhiên, người dùng cũng phải lưu ý để tránh cài đặt các ứng dụng giả mạo và sao chép các VPN lớn.

ung-dung-express-vpn-co-ba-diem-cuc-ky-de-nhan-biet-va-không-the-nham-lan-voi-ban-goc

Ứng dụng Express VPN có ba điểm cực kỳ dễ nhận biết và không thể nhầm lẫn với bản gốc.

Tóm lại, người dùng cần phải cẩn thận với những ứng dụng được cho là để bảo vệ quyền riêng tư của họ. Trước khi mua hoặc cài ứng dụng, hãy dành thời gian để xem xét các mô tả thông tin về ứng dụng, chính sách bảo mật, kiểm tra tốc độ sử dụng…

Nguồn quantrimang.com

 

]]>