Phần mềm độc hại Spylend được tải xuống từ Google Play hơn 100.000 lần

Ứng dụng Finance Simplified độc hại vẫn hiện diện trên Google Play vào đầu tuần này.

Theo nghiên cứu của hãng Cyfirma, Spylend, một ứng dụng Android độc hại được ngụy trang thành ứng dụng Finance Simplified, hoạt động như một cổng thông tin đến các ứng dụng cho vay săn mồi nhắm vào người dùng Ấn Độ.

Sau khi tải xuống ứng dụng, người dùng được chuyển hướng đến một trang web bên ngoài, nơi tệp ứng dụng cho vay (APK) riêng biệt được tải xuống.

Tiếp đến, một tên miền độc hại sẽ đưa JavaScript vào ứng dụng, hiển thị danh sách các ứng dụng cho vay bổ sung. Sau khi cài đặt, các ứng dụng này thu thập dữ liệu người dùng nhạy cảm, thực thi các hoạt động cho vay nặng lãi và sử dụng các chiến thuật tống tiền để tống tiền.

Những tuyên bố gây hiểu lầm

Sau khi kiểm tra Finance Simplified, ứng dụng đã được tải xuống hơn 50.000 lần trên Cửa hàng Google Play chỉ trong một tuần và hiện đã vượt quá 100.000 lần, các nhà nghiên cứu đã phát hiện ra nhiều mối đe dọa kèm theo thông tin gây hiểu lầm.

Ứng dụng sử dụng nhắm mục tiêu dựa trên vị trí và hiển thị danh sách các ứng dụng cho vay trái phép hoạt động bên trong ứng dụng (trong WebView), cho phép kẻ tấn công bỏ qua sự giám sát của Cửa hàng Google Play.

Ứng dụng hiển thị chính sách bảo mật của mình thông qua WebView, cho phép tải nội dung bên ngoài và sửa đổi chính sách bảo mật của mình ngay cả sau khi ứng dụng đã được cài đặt.

Theo Cyfirma, phần "Nâng cấp ngay" được hiển thị trong ứng dụng dưới dạng phần tử WebView là đáng lo ngại, vì nó cho phép chèn mã độc có khả năng gây hại mà người dùng không biết.

Các nhà nghiên cứu tuyên bố rằng, "Trang web có thể sửa đổi nội dung, bao gồm cả quy trình cập nhật, nghĩa là kẻ tấn công có thể chuyển hướng người dùng đến các trang web lừa đảo, lừa họ tải xuống phần mềm độc hại hoặc thậm chí đánh cắp thông tin cá nhân nhạy cảm".

Ứng dụng cũng liệt kê danh sách nhiều ứng dụng cho vay khác nhau, mỗi ứng dụng đều có phần "mẹo nội bộ" cho thấy đã được đăng ký với các cơ quan quản lý ngân hàng Ấn Độ. Tuy nhiên, Cyfrima lưu ý rằng, những tuyên bố này là sai lệch vì các ứng dụng trước đó đã bị xóa khỏi Cửa hàng Google Play chính thức do các hoạt động gian lận.

Có thể truy cập vào camera và nhật ký cuộc gọi

Khi người dùng tải xuống các ứng dụng bên ngoài thông qua ứng dụng cho vay (APK), mã JavaScript sẽ được đưa vào để hiển thị các ứng dụng cho vay bên ngoài dưới dạng danh sách trong ứng dụng.

Sau khi tải xuống và cài đặt một số ứng dụng này, các nhà nghiên cứu quan sát thấy rằng tất cả các ứng dụng đều có giao diện tương tự nhau, cho thấy cùng một nhà phát triển đang chạy chúng.

Một trong những ứng dụng kể trên là KreditApple, yêu cầu các quyền thời gian hoạt động khá nhạy cảm, bao gồm quyền truy cập vào camera, vị trí và bộ nhớ ngoài, làm dấy lên mối lo ngại về việc chụp ảnh và giám sát trái phép.

Báo cáo lưu ý rằng, ứng dụng có thể theo dõi nhật ký cuộc gọi, truy cập dữ liệu SMS và truy xuất thông tin nhật ký cuộc gọi từ thiết bị Android.

Khi kiểm tra bảng quản trị, các nhà nghiên cứu đã phát hiện ra sự hiện diện của hai tệp, en.js và zh.js. Hoạt động liên quan đến các tệp này cho thấy thêm rằng, bảng quản trị có khả năng bị kẻ tấn công đến từ Trung Quốc quản lý.

Một số vấn đề và rủi ro do Finance Simplified cũng như các ứng dụng đi kèm gây ra đã được nêu bật trong các bình luận trên Cửa hàng Google Play, trong đó, một số người dùng báo cáo rằng, ứng dụng này là gian lận và tham gia vào việc thu thập dữ liệu, thậm chí là tống tiền thông qua việc tạo ảnh deepfake.

Trong khi đó, các đánh giá trên các nền tảng tư vấn tư nhân cho thấy, những kẻ lừa đảo gây áp lực cho người dùng, chế giễu họ và thực hiện hành vi lạm dụng hoặc đe dọa qua mạng.