Theo CSO Online, báo cáo từ Bitdefender ghi nhận các tác nhân đe dọa liên quan có thể dễ dàng chuyển chiến thuật để chuyển hướng người dùng sang các loại phần mềm độc hại khác, chẳng hạn như trojan ngân hàng để đánh cắp thông tin đăng nhập, thông tin tài chính hoặc phần mềm tống tiền.
Cho đến nay, Bitdefender đã phát hiện ra hơn 60.000 ứng dụng Android bị nhiễm phần mềm quảng cáo và nghi ngờ còn nhiều hơn nữa. Phần mềm độc hại này đã tồn tại ít nhất từ tháng 10.2022 nhằm mục tiêu đến người dùng Mỹ, Hàn Quốc, Brazil, Đức, Vương quốc Anh và Pháp.
Tác nhân đe dọa sử dụng các ứng dụng của bên thứ ba để phân phối phần mềm độc hại vì nó không có trong bất kỳ cửa hàng chính thức nào. Để thuyết phục người dùng tải xuống và cài đặt ứng dụng bên thứ ba, những kẻ điều hành phần mềm độc hại đã che giấu mối đe dọa trên các mặt hàng được săn đón nhiều mà mọi người không thể thấy trong các cửa hàng chính thức. Trong một số trường hợp nhất định, các ứng dụng này chỉ sao chép các ứng dụng được xuất bản trong Google Play Store. Một số loại ứng dụng bị phần mềm độc hại bắt chước bao gồm trò chơi bẻ khóa, trò chơi có tính năng không khóa, VPN miễn phí, hướng dẫn giả mạo, YouTube/TikTok không có quảng cáo, chương trình tiện ích bị bẻ khóa, trình xem PDF và thậm chí cả các chương trình bảo mật giả mạo.
Các ứng dụng có phần mềm độc hại hoạt động giống như các ứng dụng Android bình thường để cài đặt và nhắc người dùng nhấp vào “Mở” sau khi cài đặt. Tuy nhiên, phần mềm độc hại không tự định cấu hình để chạy tự động vì điều đó có thể yêu cầu các đặc quyền bổ sung. Sau khi được cài đặt, phần mềm độc hại sẽ hiển thị thông báo cho biết “ứng dụng không có sẵn” để lừa người dùng nghĩ rằng phần mềm độc hại không tồn tại, nhưng thực tế nó không có biểu tượng trong trình khởi chạy và ký tự UTF-8 trong nhãn khiến việc phát hiện và gỡ cài đặt trở nên khó khăn hơn.
Sau khi khởi chạy, ứng dụng sẽ giao tiếp với máy chủ của kẻ tấn công và truy xuất các URL quảng cáo sẽ được hiển thị trong trình duyệt di động hoặc dưới dạng quảng cáo WebView toàn màn hình.
Được biết, đây chỉ là một trong những vụ việc liên quan đến các ứng dụng Android chứa phần mềm độc hại bị phát hiện gần đây. Vào tháng trước, một phần mềm gián điệp Android có tên SpinOK đã được phát hiện bởi công ty an ninh mạng Doctor Web. Phần mềm độc hại này thu thập thông tin về các tệp được lưu trữ trên thiết bị và có thể chuyển chúng cho các tác nhân độc hại. Nó cũng có thể thay thế và tải nội dung trong khay nhớ tạm lên một máy chủ từ xa. Các ứng dụng Android chứa SpinOk có tính năng phần mềm gián điệp đã được cài đặt hơn 421 triệu lần.