Cửa hàng chơi Google gỡ bỏ hàng trăm ứng dụng mang Windows phần mềm độc hại

Computer Security News

Chuyên gia bảo mật báo cáo rằng các cửa hàng chính thức của Google chơi đã gỡ bỏ ứng dụng 145 đã mang Windows phần mềm độc hại.

Các ứng dụng độc hại đã được tải lên đến cửa hàng Google chơi giữa tháng mười và tháng mười một lat năm, có nghĩa là người dùng Android đã tiếp xúc với các cuộc tấn công trong nhiều tháng. Theo các nhà nghiên cứu, một số các ứng dụng đã là tải về hàng ngàn lần và được đánh giá 4 sao.

Phần mềm độc hại bao gồm trong các ứng dụng mã được tạo ra để thỏa hiệp hệ thống Windows và tận dụng các thiết bị Android như một vector tấn công.

“Đáng chú ý, các tập tin APK bị nhiễm bệnh không gây ra bất kỳ mối đe dọa cho thiết bị Android, như các nhúng vào Windows thực thi những chương trình chỉ có thể chạy trên hệ thống Windows: họ là trơ và không hiệu quả trên nền tảng Android.” phân tích tích cuûa phaân Palo Alto mạng kỳ.

“Thực tế những tập tin APK đang bị nhiễm bệnh cho thấy rằng các nhà phát triển đang tạo ra các phần mềm trên bị xâm phạm các hệ thống Windows bị nhiễm phần mềm độc hại. Đây là loại nhiễm trùng là một mối đe dọa đến chuỗi cung ứng phần mềm, làm ảnh hưởng đến phần mềm các nhà phát triển đã chứng minh là một chiến thuật hiệu quả nhất rộng quy mô tấn công. “

Theo các nhà nghiên cứu Palo Alto, được thực hiện trên một hệ thống Windows, các tập tin độc hại PE thực hiện các hoạt động đáng ngờ sau:

  • Tạo tập tin thực thi và ẩn trong thư mục hệ thống Windows, bao gồm sao chép chính nó
  • Thay đổi Windows registry để tự động bắt đầu mình sau khi khởi động
  • Cố gắng để ngủ trong một thời gian dài
  • Có hoạt động đáng ngờ mạng kết nối đến địa chỉ IP 87.98.185.184 thông qua cổng 8829

Theo các nhà nghiên cứu bảo mật, tập tin PE độc hại đã được nhúng trong hầu hết các ứng dụng.

Các chuyên gia cũng cho thấy rằng một trong những phần mềm độc hại được bao gồm trong 142 APKs, mã độc hại thứ hai được tìm thấy trong 21 APKs. 15 ứng dụng trong tổng số đã được nói đến có chứa cả hai tập tin PE bên trong.

Các tin tặc đã cố gắng để thụ thai PE các tập tin bằng cách sử dụng tên giả ngụy trang như hợp pháp, chẳng hạn như Android.exe, music.exe, COPY_DOKKEP.exe, js.exe, gallery.exe, images.exe, msn.exe và css.exe.

Theo các chuyên gia, không phải tất cả các ứng dụng được tải lên bởi các nhà phát triển cùng bị nhiễm với các tập tin độc hại, có lẽ vì họ sử dụng nền tảng khác nhau phát triển.

“Tập tin PE độc hại không thể trực tiếp chạy trên các máy Android. Tuy nhiên, nếu tập tin APK là mở gói trên một Windows máy tính và các tập tin PE đang vô tình thực hiện, các nhà phát triển cũng phát hành Windows dựa trên phần mềm hoặc nếu các nhà phát triển đang bị nhiễm độc hại tập tin runnable trên nền tảng Android, tình hình sẽ đi nhiều tồi tệ hơn.” Palo Alto mạng nói.

“Môi trường phát triển là một phần quan trọng của chu kỳ cuộc sống phát triển phần mềm. Chúng ta nên luôn luôn cố gắng để đảm bảo nó đầu tiên. Nếu không đối phó điện tử bảo mật khác chỉ có thể cố gắng vô ích.”


Leave a Reply

Your email address will not be published. Required fields are marked *