bjemtj
Super Moderators
Hồi tuần trước các nhà nghiên cứu tại Check Point đã phát hiện ra 1 phần mềm độc hại có tên là "Judy" và có thể nó đã lây nhiễm cho 36,5 triệu thiết bị Android. Được biết Judy là một dạng phần mềm quảng cáo tự động click chuột, nó tạo ra số lượng lớn các cú click chuột lừa đảo trên các quảng cáo để mang đến những khoản thu nhập khổng lồ cho các hacker đằng sau hoạt động này. Phần mềm độc hại Judy đã được tìm thấy trên 41 ứng dụng do một công ty Hàn Quốc tạo ra và nó đã nhanh chống lan truyền từ 4,5 đến 18,5 triệu lượt download.
Điều thú vị là nhiều ứng dụng trên đã có trên Google Play Store nhiều năm nay, nhưng gần đây tất cả đã được cập nhật. Ngoài ra Check Point cũng phát hiện ra một vài ứng dụng được viết bởi các nhà phát triển khác cũng có chứa phần mềm độc hại tương tự, tuy nhiên hiện vẫn chưa thể xác minh được liệu các nhà phát triển khác này có thông đồng với nhà phát triển Hàn Quốc hay không và phần mềm độc hại này là cố ý hay là vô tình bị lây lan.
Các ứng dụng đang chứa phần mềm độc hại này được phát triển bởi một công ty đến từ Hàn Quốc có tên là Kiniwini và đăng ký trên Google Play Store dưới tên ENISTUDIO Corp. Tuy nhiên về phần mình Google cũng đã sớm gỡ bỏ các ứng dụng độc hại này khỏi Play Store. Với các ứng dụng được phân phồi từ Kiniwini, tất cả đều có tên Judy trong tiêu đề, điều này giải thích cho cách thức để phần mềm độc hại này nhận được tên của nó. Hơn nữa Kiniwini cũng phát triển các ứng dụng cho Apple App Store.
Check Point cho biết “Để vượt qua Bouncer - bước bảo vệ của Google Play - các hacker này đã tạo ra 1 ứng dụng được thiết lập kết nối với thiết bị của nạn nhân và chèn nó vào cửa hàng ứng dụng này. Một khi người dùng tải xuống ứng dụng độc hại này, nó sẽ lặng lẽ đăng ký một receiver kết nối với máy chủ C&C. Máy chủ sẽ trả lời với các ứng dụng độc hại này, bao gồm code JavaScript, chuỗi User agent và URL được điều khiển bởi tác giả của phần mềm độc hại này. Tiếp đó malware sẽ mở URLs bằng cách dùng User agent bắt chước trình duyệt PC trong 1 webpage ẩn và nhận 1 chuyển tiếp đến website khác. Sau khi trang web mục tiêu đã được khởi chạy, phần mềm độc hại này sẽ dùng code JavaScript để định vị và click vào các banner từ các quảng cáo của Google – sau khi click vào các quảng cáo này, tác giả của phần mềm độc hại Judy sẽ nhận được tiền thanh toán từ nhà phát triển website, và đây chính là những khoản thu nhập bất hợp pháp của những tên hacker đứng sau hoạt động này”.
Vì vậy nếu có bất kỳ ứng dụng nào trong số các ứng dụng này trên điện thoại hay tablet của mình, hãy đảm bảo rằng bạn đã xóa chúng ngay lập tức.
