Kaspersky: Trojan Necro đã tấn công 11 triệu người dùng Android

Kaspersky: Trojan Necro đã tấn công 11 triệu người dùng Android

Thứ 2, 30/09/2024 11:45
Các nhà bảo mật của Kaspersky vừa phát hiện mã độc Necro đã tấn công 11 triệu người dùng Androi, bao gồm những người dùng phiên bản đã sửa đổi của Spotify, WhatsApp, Minecraft và các ứng dụng khác từ Google Play.

Một phiên bản mới của trình tải phần mềm độc hại, trojan Necro dành cho Android đã được cài đặt trên 11 triệu thiết bị thông qua Google Play trong các cuộc tấn công chuỗi cung ứng SDK độc hại.

Phiên bản mới này của Trojan Necro được cài đặt thông qua bộ công cụ phát triển phần mềm quảng cáo độc hại (SDK) được sử dụng bởi các ứng dụng hợp pháp, bản mod trò chơi Android và các phiên bản sửa đổi của phần mềm phổ biến như Spotify, WhatsApp và Minecraft.

Necro cài đặt nhiều phần mềm độc hại vào các thiết bị bị nhiễm và kích hoạt nhiều plugin độc hại, bao gồm:

- Phần mềm quảng cáo tải liên kết thông qua cửa sổ WebView vô hình (Plugin Island, Cube SDK)
- Các mô-đun tải xuống và thực thi các tệp JavaScript và DEX tùy ý (Happy SDK, Jar SDK)
- Các công cụ được thiết kế riêng để tạo điều kiện cho gian lận đăng ký (Web plugin, Happy SDK, Tap plugin)
- Cơ chế sử dụng các thiết bị bị nhiễm làm proxy để định tuyến lưu lượng truy cập độc hại (Plugin NProxy)

Kaspersky phát hiện ra sự hiện diện của Necro trên hai ứng dụng trên Google Play, cả hai đều có lượng người dùng đáng kể. Ứng dụng đầu tiên là Wuta Camera của 'Benqu', một công cụ chỉnh sửa và làm đẹp ảnh có hơn 10.000.000 lượt tải xuống trên Google Play.

wuta
Ứng dụng Wuta Camera trên Google Play. (Nguồn: BleepingComputer)

Các nhà phân tích mối đe dọa báo cáo rằng Necro đã xuất hiện trên ứng dụng khi phát hành phiên bản 6.3.2.148 và vẫn được nhúng cho đến phiên bản 6.3.6.148, thời điểm Kaspersky thông báo cho Google.

Mặc dù trojan đã bị xóa trong phiên bản 6.3.7.138 nhưng bất kỳ phần mềm độc hại nào có thể đã được cài đặt thông qua các phiên bản cũ hơn thì Necro vẫn có thể ẩn núp trên các thiết bị Android.

Ứng dụng hợp pháp thứ hai có Necro là Max Browser của 'WA message recover-wamr', đã có 1 triệu lượt tải xuống trên Google Play cho đến khi bị xóa sau báo cáo của Kaspersky.

Kaspersky tuyên bố rằng phiên bản mới nhất của Max Browser, 1.2.0, vẫn mang Necro, do đó không có phiên bản sạch nào để nâng cấp và người dùng trình duyệt web được khuyến cáo gỡ cài đặt ngay lập tức và chuyển sang một trình duyệt khác.

Kaspersky cho biết hai ứng dụng này đã bị nhiễm một SDK quảng cáo có tên là 'Coral SDK', sử dụng kỹ thuật che giấu để ẩn các hoạt động độc hại và kỹ thuật ẩn hình ảnh để tải xuống phần tải trọng thứ hai, shellPlugin, được ngụy trang dưới dạng hình ảnh PNG vô hại.

bieu do lay nhiem necro
Biểu đồ lây nhiễm của Necro. (Nguồn: Kaspersky)

Google chia sẻ với BleepingComputer rằng họ đã biết về các ứng dụng được báo cáo và đang điều tra chúng.

Bên ngoài Google Play Store, Trojan Necro chủ yếu lây lan qua các phiên bản sửa đổi của các ứng dụng phổ biến (mod) được phân phối qua các trang web không chính thức.

Các ví dụ đáng chú ý được Kaspersky phát hiện bao gồm các bản mod WhatsApp 'GBWhatsApp' và 'FMWhatsApp', hứa hẹn kiểm soát quyền riêng tư tốt hơn và mở rộng giới hạn chia sẻ tệp. Một ví dụ khác là bản mod Spotify, 'Spotify Plus', hứa hẹn quyền truy cập miễn phí vào các dịch vụ cao cấp không có quảng cáo.

spotify plus
Trang web phát tán bản mod Spotify độc hại. (Nguồn: Kaspersky)

Báo cáo cũng đề cập đến các bản mod Minecraft và các bản mod cho các trò chơi phổ biến khác như Stumble Guys, Car Parking Multiplayer và Melon Sandbox, đều bị nhiễm trình tải Necro.

Trong mọi trường hợp, hành vi gây hại đều giống nhau—hiển thị quảng cáo ở chế độ nền để tạo ra doanh thu gian lận cho kẻ tấn công, cài đặt ứng dụng và APK mà không có sự đồng ý của người dùng và sử dụng WebView vô hình để tương tác với các dịch vụ trả phí.

Vì các trang web phần mềm Android không chính thức không báo cáo số lượng tải xuống một cách đáng tin cậy nên tổng số ca nhiễm do làn sóng Trojan Necro mới nhất này gây ra vẫn chưa được biết, nhưng ít nhất phải có 11 triệu ca nhiễm từ Google Play.

Google đã gửi cho BleepingComputer bình luận sau:"Tất cả các phiên bản độc hại của ứng dụng được xác định trong báo cáo này đã bị xóa khỏi Google Play trước khi báo cáo được công bố. Người dùng Android được tự động bảo vệ khỏi các phiên bản đã biết của phần mềm độc hại này thông qua Google Play Protect, được bật theo mặc định trên các thiết bị Android có Dịch vụ Google Play. Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được biết là có hành vi độc hại, ngay cả khi các ứng dụng đó đến từ các nguồn bên ngoài Play".

Nguyên Đỗ

Tuyên án nhóm hacker phát tán mã độc, thu lời bất chính hơn 14 tỷ đồng

Thứ 2, 16/09/2024 07:36
Ngày 16/9, TAND TP.Hà Nội đã tuyên án nhóm hacker cùng phát triển và phát tán mã độc để chiếm đoạt thông tin, thu lời bất chính hơn 14 tỷ đồng.

Khởi tố 2 thanh niên cài mã độc, xâm nhập trái phép vào mạng máy tính người khác

Thứ 6, 16/08/2024 07:30
Đối tượng K.T đã sử dụng phần mềm do H.T.B cung cấp để lấy thông tin tài khoản quản trị và xâm nhập trái phép vào trang sổ liên lạc điện tử của 1 trường THCS.

Người dùng Torrent bị nhà mạng cài mã độc vào máy tính: Hơn 600.000 khách hàng bị ảnh hưởng

Thứ 5, 27/06/2024 11:46
Đây là biện pháp của nhà mạng này nhằm ép người dùng dừng sử dụng các chương trình chia sẻ tệp tin qua giao thức torrent.
Cùng tác giả

Honda chi hơn 1 tỷ USD để nâng cấp các nhà máy ở Mỹ

Thứ 6, 18/03/2022 16:00
Chi nhánh sản xuất tại Canada của Honda Motor Co sẽ đầu tư 1,38 tỷ đô la Canada (1,09 tỷ USD) trong vòng 6 năm để nâng cấp các nhà máy của mình ở Ontario khi hãng chuẩn bị sản xuất chiếc SUV hybrid mới cho Bắc Mỹ.
Cùng chuyên mục

iPhone 16 không bán chạy như Apple mong đợi

Thứ 4, 09/10/2024 17:06
Apple đã trông chờ vào các tính năng trí tuệ nhân tạo mới để biến iPhone 16 thành một bước ngoặt về doanh số. Tuy nhiên, ước tính trước khi bán ra cho thấy phản ứng ban đầu yếu hơn so với kỳ vọng của công ty.

Giải Nobel Vật lý năm 2024 được trao cho những người tiên phong về AI

Thứ 4, 09/10/2024 16:01
Các nhà khoa học John Hopfield và Geoffrey Hinton đã giành giải Nobel Vật lý năm 2024 cho những khám phá và phát minh trong lĩnh vực máy học, mở đường cho sự bùng nổ của trí tuệ nhân tạo.

Samsung đang trong thời kỳ khủng hoảng?

Thứ 4, 09/10/2024 06:06
Samsung đang trải qua một năm khó khăn khi kết quả kinh doanh không như mong đợi. Họ đã phải xin lỗi các nhà đầu tư, tuy nhiên vẫn tự tin có thể biến khó khăn thành cơ hội.

Cảnh báo an ninh mạng tuần qua: Mạo danh công an, nhân viên Viettel gây nhức nhối

Thứ 2, 07/10/2024 15:13
Mạo danh các cục chức năng của Bộ Công an hứa hẹn giúp lấy lại tiền đã bị lừa đảo mạng, giả nhân viên Viettel gọi điện yêu cầu đóng phí để nhận quà tặng chương trình tri ân khách hàng... là các vấn đề nổi bật không gian mạng Việt Nam tuần qua vừa được Cục An toàn thông tin (Bộ TT&TT) cảnh báo.

Apple iPhone SE 4 được cho là sẽ mượn màn hình từ iPhone 14

Thứ 2, 07/10/2024 15:10
Theo Ross Young, một nguồn đáng tin cậy trong ngành, iPhone SE 4 sẽ sử dụng cùng màn hình với iPhone 14. Đây có thể là chiếc iPhone tiếp theo mà Apple cung cấp tới người dùng.
     
Nổi bật trong ngày

Samsung đang trong thời kỳ khủng hoảng?

Thứ 4, 09/10/2024 06:06
Samsung đang trải qua một năm khó khăn khi kết quả kinh doanh không như mong đợi. Họ đã phải xin lỗi các nhà đầu tư, tuy nhiên vẫn tự tin có thể biến khó khăn thành cơ hội.

Giải Nobel Vật lý năm 2024 được trao cho những người tiên phong về AI

Thứ 4, 09/10/2024 16:01
Các nhà khoa học John Hopfield và Geoffrey Hinton đã giành giải Nobel Vật lý năm 2024 cho những khám phá và phát minh trong lĩnh vực máy học, mở đường cho sự bùng nổ của trí tuệ nhân tạo.

iPhone 16 không bán chạy như Apple mong đợi

Thứ 4, 09/10/2024 17:06
Apple đã trông chờ vào các tính năng trí tuệ nhân tạo mới để biến iPhone 16 thành một bước ngoặt về doanh số. Tuy nhiên, ước tính trước khi bán ra cho thấy phản ứng ban đầu yếu hơn so với kỳ vọng của công ty.
xe.nguoiduatin.vn