Nhiều ứng dụng trên Google Play thu thập dữ liệu người dùng

Vào tháng 7-2019, nhóm nghiên cứu bảo mật của Doctor Web đã phát hiện một loại Trojan mới trên Google Play (giả mạo plugin OpenGL). Nếu người dùng cài đặt nhầm, ứng dụng sẽ bắt đầu tạo “cửa hậu”, thu thập thông tin và gửi về máy chủ từ xa.

Mới đây, Kaspersky cũng đã tìm thấy một mẫu Trojan tương tự (nhưng với mức độ tinh vi cao hơn), nằm bên trong các ứng dụng trên Google Play và APKpure. 

phantomlance
Các ứng dụng độc hại mới được phát hiện nằm trong chiến dịch PhantomLance. Ảnh: Internet

Những phần mềm độc hại này có rất nhiều biến thể, tuy nhiên chức năng cơ bản của chúng vẫn là đánh cắp thông tin người dùng, bao gồm nhật ký cuộc gọi, danh bạ, dữ liệu GPS, tin nhắn SMS, thông tin thiết bị… sau đó gửi về máy chủ từ xa hoặc cài đặt thêm các phần mềm độc hại khác. 

“Chiến dịch PhantomLance đã diễn ra trong hơn năm năm và các tác nhân đe dọa đã cố gắng vượt qua các bộ lọc của Google Play, sử dụng các kỹ thuật tiên tiến để đạt được mục tiêu”, Alexey Firsh, một nhà nghiên cứu của Kaspersky cho biết.

Nhiều người dùng tại Ấn Độ, Việt Nam, Bangladesh và Indonesia đã trở thành nạn nhân của chiến dịch PhantomLance kể từ năm 2016. 

Sau khi phân tích, Kaspersky nghi ngờ nhóm OceanLotus đứng đằng sau chiến dịch PhantomLance vì ít nhất 20% codebase tương tự như các cuộc tấn công trước đó do nhóm này phát động và thường nhắm vào các nạn nhân tại Đông Nam Á. 

Các nhà nghiên cứu của BlackBerry cũng tìm thấy bằng chứng liên quan đến nhóm OceanLotus (trong chiến dịch OceanMobile) vào năm 2019.

Kaspersky đã báo cáo tất cả ứng dụng độc hại và Google đã loại bỏ chúng khỏi cửa hàng.