Ứng dụng Android độc hại xuất hiện hai lần trên Google Play

10:26 | 11/09/2019

Nghiên cứu của công ty an ninh mạng ESET (trụ sở chính tại Slovakia) đã phát hiện ra trường hợp đầu tiên của mã độc gián điệp Android dựa trên công cụ gián điệp nguồn mở AhMyth. Mã độc này ẩn giấu trong một ứng dụng radio đã xuất hiện hai lần trên cửa hàng Google Play.

Ứng dụng độc hại có tên là Radio Balouch, được phát hiện chứa mã độc Android/Spy.Agent.AOX. Giao diện ứng dụng được mô phỏng như một ứng dụng nghe radio bằng Internet, chuyên phát nhạc của người Baloch định cư tại Iran, Afghanistan và Pakistan.

Tuy nhiên, nhà nghiên cứu Lukas Stefanko thuộc công ty ESET đã chỉ ra rằng, ứng dụng này được tạo ra để theo dõi những người đã tải ứng dụng. Trong khi người dùng sử dụng ứng dụng, mã độc gián điệp tiến hành các hoạt động đánh cắp thông tin danh bạ và thu thập các tệp được lưu trữ trên thiết bị.

Ngay sau khi được ESET đã báo cáo, Google đã xóa ứng dụng độc hại Radio Balouch trong vòng 24 giờ, nhưng 10 ngày sau ứng dụng này được nhà phát triển ban đầu đăng lại trên cửa hàng ứng dụng Google Play.

Ông Stefanko cho biết, công ty cũng đã phát hiện và báo cáo trường hợp thứ hai của mã độc và sau đó nó cũng được gỡ bỏ nhanh chóng. Tuy nhiên, việc Google cho phép cùng một nhà phát triển đăng lại một mã độc đã bị phát hiện lên cửa hàng ứng dụng nhiều lần là điều đáng lo ngại.

Ứng dụng Radio Balouch xuất hiện lần đầu tiên trên Google Play vào ngày 2/7, lần thứ hai vào ngày 13/7 và đều nhanh chóng bị gỡ bỏ. Mỗi lần đăng trên Google Play, ứng dụng đã được hơn 100 người cài đặt.

Radio Balouch có thể là ứng dụng chứa mã độc gián điệp Android nguồn mở đầu tiên xuất hiện trên Google Play, nhưng không có gì đảm bảo đây là ứng dụng cuối cùng. Vì ứng dụng độc hại vẫn có thể trở lại cửa hàng ứng dụng Google Play một cách dễ dàng sau khi bị xóa, nên Google cần đưa ra các biện pháp bảo mật nghiêm ngặt hơn.

Nếu Google không nâng cao khả năng bảo vệ an toàn cho người dùng, thì một bản sao mới của Radio Balouch hoặc bất kỳ mã độc dựa trên công cụ gián điệp AhMyth có thể sẽ sớm xuất hiện trên Google Play. Radio Balouch đã biến mất khỏi Google Play, nhưng nó vẫn có thể ở trên các cửa hàng ứng dụng khác.

ESET cho biết, ứng dụng Radio Balouch đã được quảng cáo trên một trang web chuyên dụng, Instagram và YouTube. Công ty đã báo cáo sự nguy hiểm của chiến dịch tấn công này cho các nhà cung cấp dịch vụ, nhưng không nhận được bất kỳ phản hồi nào.