Sinh viên Việt Nam đưa 42 ứng dụng chứa mã độc lên Play Store bị phát hiện như thế nào?

Tùng Linh

14:12 25/10/2019

BizLIVE - Mới đây một sinh viên Việt Nam đã bị phát hiện là tác giả của 42 ứng dụng chứa mã độc trên kho tải Play Store của Google. 

Sinh viên Việt Nam đưa 42 ứng dụng chứa mã độc lên Play Store bị phát hiện như thế nào?

Ảnh minh họa.

Những ứng dụng chứa mã độc này đã bắt đầu xuất hiện từ tháng 7/2018 và đến nay có những ứng dụng đã đạt con số 8 triệu lượt tải. Điểm chung của 42 ứng dụng này là đều chứa một loại adware mới.
Sau khi cài đặt các ứng dụng chứa adware, mã độc này sẽ gây ảnh hưởng tới thiết bị của người dùng. Cụ thể mã độc này sẽ chèn quảng cáo vào thiết bị. Khi người mở giao diện đa tác vụ để chuyển qua lại giữa các ứng dụng, mã độc sẽ hiển thị quảng cáo vào ảnh đại diện của ứng dụng. 
42 ứng dụng chứa mã độc vừa bị Google gỡ khỏi kho tải.  
Việc này không chỉ gây tốn data của người dùng mà còn ảnh hưởng đến hiệu năng khi luôn có những luồng chạy ngầm để điện thoại nạn nhân luôn giữ liên lạc với máy chủ cung cấp quảng cáo.
Ngoài ra đây cũng là thủ phạm gây ra tình trạng điện thoại Android bỗng nhiên sáng màn hình, hiển thị quảng cáo dù máy đang khoá. 
 Ứng dụng chứa mã độc sẽ hiển thị quảng cáo trong giao diện đa nhiệm của điện thoại, thậm chí là làm giả cả icon của Facebook để đánh lừa người dùng.
Các ứng dụng này qua mặt việc kiểm duyệt ứng dụng của Google theo một cách khá tinh vi. Ban đầu khi khởi động ứng dụng chứa mã độc lần đầu, máy chủ của thủ phạm sẽ nhận được những thông tin cần thiết để xác định loại quảng cáo cần hiển thị gồm tên máy, phiên bản hệ điều hành, ngôn ngữ máy, dung lượng bộ nhớ trống, tình trạng pin, đang cài những ứng dụng nào…
Đây là những thông tin bình thường mà nhiều ứng dụng khác cũng thu thập và Google cho qua ở bước khai thác thông tin. Tiếp đó các ứng dụng này sẽ giữ liên lạc với máy chủ của tin tặc. Nếu kết nối tới máy chủ tin tặc có các IP từ Google có nghĩa là ứng dụng đang trong hoạt động kiểm thử của Google, ứng dụng có mã độc sẽ hoạt động bình thường, không hiển thị quảng cáo. 
Nếu kết nối từ các IP khác, ứng dụng này sẽ tiến hành hiển thị quảng cáo với khoảng thời gian ngẫu nhiên, thường là 24 phút từ sau khi điện thoại được khoá màn hình. Trong khi thời gian kiểm tra ứng dụng của Google thường dưới 10 phút nên 42 ứng dụng này dễ dàng qua các kiểm tra bảo mật.
Ban đầu những ứng dụng đầu tiên được đưa lên Google không có mã độc nhưng sau đó thủ phạm đã đưa mã độc vào thiết bị người dùng thông qua các bản cập nhật ứng dụng.
Nhận ra nhiều điểm chung của 42 ứng dụng, các chuyên gia của hãng bảo mật ESET đã tiến hành điều tra về thủ phạm và xác định tác giả của 42 ứng dụng này là một sinh viên đang học tại một trường đại học ở Hà Nội.
Đầu tiên họ kiểm tra mã nguồn của ứng dụng và tìm thấy địa chỉ máy chủ mà các ứng dụng này thường xuyên giữ liên lạc. Tiếp tục kiểm tra thông tin chủ sở hữu của các tên miền máy chủ, ESET đã có được địa chỉ mail và số điện thoại của người đăng ký tên miền. Tất cả đều ở Việt Nam.
 Khi kiểm tra số điện thoại và email đăng ký tên miền, ESET tìm thấy một bản danh sách sinh viên chứa chính xác các thông tin này.
Sau đó là số điện thoại và email của chủ sở hữu tên miền có thể tìm được qua Google và kết quả tìm kiếm dẫn tới một bản danh sách sinh viên của một trường đại học ở Hà Nội. Bản danh sách lớp này chứa đầy đủ thông tin gồm tên đầy đủ, số điện thoại, mã số sinh viên.
Để chắc chắn về thủ phạm, ESET đã mở rộng việc tìm kiếm qua các thông tin có được và tìm ra tài khoản GitHub của sinh viên này. Đây là dịch vụ lưu trữ mã nguồn và các dự án. Tại đây chỉ có các thư mục chứa dự án ứng dụng Android. Tuy nhiên cùng thời gian với các ứng dụng này, lại có một thư mục khác được sử dụng nhưng chứa mã độc.
Tài khoản Youtube của nam sinh viên cũng có những hướng dẫn về mã độc.  
Tài khoản Youtube và Facebook của nam sinh viên này cũng đăng tải các bài hướng dẫn chi tiết cách sử dụng mã độc quảng cáo này. Nên ESET cho rằng mình đã tìm được đúng thủ phạm.
Sau khi nhận được thông báo về 42 ứng dụng, bộ phận bảo mật của Google đã gỡ bỏ toàn bộ các ứng dụng trên. Tuy nhiên trên kho tải của các bên thứ ba thì vẫn còn. 
Người dùng lúc này muốn tránh việc nhiễm các mã độc tương tự trên chỉ nên cài đặt ứng dụng từ kho tải chính thức của Google. 

TÙNG LINH

Thăm dò ý kiến
Bạn sẽ chuyển sang nhà mạng di động nào?