Theo Microsoft, các ứng dụng độc hại trên Android nhắm đến việc đăng ký ẩn, đưa người dùng đến nội dung thu tiền mà họ không hề hay biết. Nó khác với các mối đe dọa khác là chức năng độc hại chỉ được thực hiện khi thiết bị kết nối với một trong các nhà mạng mục tiêu.
Nhóm nghiên cứu Microsoft 365 Defender cho biết phần mềm độc hại này buộc các thiết bị phải kết nối với mạng di động ngay cả khi có kết nối Wi-Fi. Khi đó, chương trình sẽ lén lút đăng ký và xác nhận mà người dùng không hay biết, thậm chí còn chặn số OTP được gửi đến tin nhắn.
Về cơ bản, hình thức thanh toán này cho phép người dùng đăng ký các dịch vụ trả phí từ các trang web hỗ trợ Giao thức Ứng dụng Không dây (WAP). Phí đăng ký này được tính trực tiếp vào hóa đơn điện thoại di động, do đó loại bỏ nhu cầu thiết lập thẻ tín dụng, thẻ ghi nợ hoặc cần phải nhập tên và mật khẩu.
Loại malware trên Android lén lút đăng ký dịch vụ này rất khó bị phát hiện |
chụp màn hình |
Năm 2017, Kaspersky đã đề cập loại trojan thanh toán WAP với hình thức tương tự. Các nhà nghiên cứu cho biết trong trường hợp tấn công, phần mềm độc hại thực hiện đăng ký thay mặt cho người dùng mà họ không thể nhận ra được.
Trojan sẽ nhận lệnh từ máy chủ điều khiển để truy xuất danh sách các dịch vụ được cung cấp. Tiếp đến là dùng mã JavaScript để lén đăng ký dịch vụ, chặn và gửi mã OTP (nếu có) để hoàn tất. Mã JavaScript được thiết kế để nhấp vào các phần tử HTML có chứa các từ khóa như "xác nhận", "nhấp" và "tiếp tục" để đăng ký.
Trojan gian lận thu phí cũng che giấu hành vi đáng ngờ bằng cách tải mã động, sử dụng tính năng trong Android cho phép ứng dụng tải các mô-đun bổ sung từ máy chủ bên ngoài trong thời gian chạy.
Việc này đã bị các hacker lợi dụng, từ góc độ bảo mật, điều này đã giúp hacker có thể tạo ứng dụng trông hợp pháp, trong khi chức năng lừa đảo chỉ tải khi đáp ứng một số điều kiện nhất định, từ đó khiến quá trình kiểm tra phân tích mã trở nên vô hiệu.
Google gọi chung là các ứng dụng có thể gây hại (PHA). Các ứng dụng gian lận số phí chiếm 34,8% trong tổng số PHA được cài đặt từ cửa hàng Google Play trong quý đầu tiên năm 2022, chỉ xếp dưới phần mềm gián điệp (spyware). Hầu hết các cài đặt phần mềm đến từ Ấn Độ, Nga, Mexico, Indonesia và Thổ Nhĩ Kỳ.
Để giảm thiểu tác hại, người dùng chỉ nên cài ứng dụng từ cửa hàng Google Play hoặc các nguồn đáng tin cậy, tránh cấp nhiều quyền cho các ứng dụng và xem xét nâng cấp lên một thiết bị Android mới nếu smartphone hiện tại đã ngừng nhận bản cập nhật phần mềm do quá cũ.
Bình luận (0)