Đã có hơn 500.000 lượt tải về ứng dụng chứa trojan mang tên Guide for Pokémon GO, trong đó có ít nhất 6.000 sự lây nhiễm thành công trước khi nó bị xóa khỏi Google Play.

Ứng dụng độc hại trên cửa hàng Google Play mang tên “Guide for Pokémon GO” chứa phần mềm rooting, vừa bị hãng bảo mật Kaspersky Lab phát hiện, có khả năng truy cập vào hệ điều hành Android với mục đích cài đặt lẫn xóa ứng dụng và hiển thị quảng cáo. Hiện nay, các sản phẩm bảo mật của Kaspersky Lab có thể dò ra mã độc này dưới tên HEUR:Trojan.AndroidOS.Ztorg.ad.

guide-for-pokemon-go

Ứng dụng độc hại mang tên “Guide for Pokémon GO”.

Phân tích của Kaspersky Lab về “Guide for Pokémon GO” cho thấy trojan này có những chức năng đặc biệt “thông minh” giúp nó không bị phát hiện. Ví dụ, trojan sẽ không chạy ngay khi người dùng bắt đầu mở ứng dụng. Thay vào đó, nó chờ đến khi người dùng cài đặt hoặc xóa một ứng dụng khác thì mới kiểm tra ứng dụng này được chạy trên thiết bị thực hay máy ảo. Nếu trên thiết bị, Trojan sẽ chờ thêm 2 tiếng nữa. Và thậm chí cho đến lúc này nó vẫn chưa thực hiện quá trình lây nhiễm. Sau khi kết nối với máy chủ và tải lên những thông tin chi tiết về thiết bị bao gồm quốc gia, ngôn ngữ, model thiết bị và phiên bản hệ điều hành, Trojan sẽ chờ máy chủ hồi đáp. Chỉ khi nào nhận được phản hồi thì nó mới thực hiện những yêu cầu tiếp theo và tiến hành tải xuống, cài đặt bổ sung module của phần mềm độc hại.

Hành động này có nghĩa là máy chủ có thể dừng tấn công nếu muốn, thậm chí bỏ qua những nạn nhân không muốn tấn công hoặc nạn nhân bị nghi ngờ là sandbox hoặc máy ảo.

Ngay khi quyền rooting đã được kích hoạt, trojan sẽ cài module của nó vào thư mục hệ thống của thiết bị, bí mật cài đặt và xóa những ứng dụng khác và tự động hiển thị quảng cáo.

Dữ liệu của Kaspersky Lab cho thấy tính đến thời điểm hiện tại chỉ có 6.000 sự lây nhiễm thành công, bao gồm ở Nga, Ấn Độ và Indonesia. Tuy nhiên, vì ứng dụng hướng tới người dùng sử dụng tiếng Anh nên những người dùng khác trong những vùng địa lý này cũng có thể bị tấn công.

Theo chuyên gia bảo mật cấp cao Roman Unuchek tại Kaspersky Lab chia sẻ, trong thế giới trực tuyến, bất kể là người dùng đi đâu thì tội phạm mạng cũng có thể theo đến đó. Pokémon GO cũng không phải ngoại lệ. Nạn nhân của trojan này thoạt tiên sẽ không chú ý đến những quảng cáo phiền phức đang ngày một tăng lên những về sau thì sự lây nhiễm đã thực sự diễn ra.

Người dùng lo ngại bị Trojan này lây nhiễm có thể tiến hành quét thiết bị bằng phần mềm chống virus trên di động. Trong trường hợp bị lây nhiễm, những công cụ sẵn có sẽ giúp họ xóa bỏ phần mềm rooting nhưng đây có thể là một quy trình phức tạp.

Ngoài ra, Kaspersky Lab khuyến nghị người dùng luôn phải kiểm tra xem ứng dụng có phải được viết bởi nhà phát triển có danh tiếng hay không, hệ điều hành và ứng dụng phải luôn được cập nhật và không tải bất cứ thứ gì đáng nghi hay từ nguồn chưa được chứng thực. Người dùng cũng cần quan tâm đến việc bảo mật thông tin cá nhân.

Hiện tượng Pokémon GO đã làm tăng số lượng ứng dụng liên quan đến trò chơi tương tác thực tế này và hiển nhiên thu hút được nhiều sự quan tâm từ cộng đồng tội phạm mạng.

Advertisements