Các nhà nghiên cứu bảo mật tại Check Point vừa phát hiện ra rằng mã độc Joker lại đang phát tán trên các thiết bị Android. Joker thường núp bóng các ứng dụng hợp pháp sau đó âm thầm đăng ký tài khoản các dịch vụ chi phí cao mà người dùng không hề biết.
Joker đã nhiều lần bị xóa khỏi Play Store nhưng chẳng bao lâu sau nó lại tìm ra cách để quay trở lại. Trong lần này, nó ẩn các mã thực thi DEX độc hại bên trong ứng dụng dưới dạng chuỗi mã hóa Base64. Sau khi xâm nhập được vào thiết bị của nạn nhân, các chuỗi này sẽ được giải mã sau đó khởi chạy.
Sau khi nhận được cảnh báo từ Check Point, Google đã xóa 11 ứng dụng chứa mã độc Joker khỏi Play Store vào ngày 30/4/2020.
"Rất khó để phát hiện ra mã độc Joker mặc dù Google đã đầu tư khá nhiều vào các biện pháp bảo vệ Play Store", chuyên gia Check Point, Aviran Hazum, người phát hiện ra các thức xâm nhập mới của Joker chia sẻ. "Mặc dù Google đã xóa các ứng dụng chứa Joker khỏi Play Store nhưng chúng tôi nghĩ rằng mã độc này sẽ có thể quay trở lại trong tương lai".
Được phát hiện lần đầu vào năm 2017, Joker là một mã độc Android khá nổi tiếng và phổ biến. Bên cạnh lừa đảo, tự đăng ký các dịch vụ đắt tiền, Joker còn có thể đánh cắp thông tin như SMS, danh bạ và thông tin thiết bị.
Năm ngoái, các chiến dịch liên quan tới Joker đạt đỉnh điểm khi mà rất nhiều đơn vị bảo mật như CSIS Security Group, Trend Micro, Dr.Wed và Kaspersky đã phát hiện ra hàng loạt ứng dụng chứa mã độc này. Bên cạnh đó, Joker còn liên tục tìm ra những phương thức độc đáo để khai thác các lỗ hổng trong phương thức kiểm tra bảo mật của Play Store.
Để che dấu bản chất thật của mình, những kẻ đứng đằng sau Joker đã sử dụng rất nhiều phương pháp khác nhau bao gồm bảo mật chuỗi để tránh bị công cụ phân tích phát hiện, mua lượt đánh giá giả để thu hút người dùng tải ứng dụng. Kỹ thuật tinh vi nhất chính là versioning, đưa lên Play Store một ứng dụng sạch, chất lượng để thu hút người dùng tải về sau đó âm thầm cập nhật thêm các mã độc.
Dưới đây là danh sách các ứng dụng bị nhiễm mã độc Joker phiên bản mới, tên ứng dụng nằm ở cột thứ 2, đằng sau phần com..
Bạn nên kiểm tra xem thiết bị của mình có cài đặt bất cứ ứng dụng nào trong số này hay không. Nếu có hãy ngay lập tức gỡ bỏ và kiểm tra lịch sử giao dịch xem có bất kỳ khoản thanh toán đáng ngờ nào không.
