Ứng dụng CamScanner chứa mã độc giúp hacker chiếm quyền điều khiển thiết bị

SBC Digital
Tháng 9 03, 2019

Các hacker có thể chiếm quyền điều khiển từ xa thiết bị Android và đánh cắp dữ liệu lưu trữ nếu bạn đang sử dụng phiên bản miễn phí của CamScanner – một ứng dụng tạo PDF trên điện thoại rất phổ biến với hơn 100 triệu lượt tải xuống trên Google Play Store.

Vì vậy, để đảm bảo an toàn cho thiết bị Android của mình, bạn nên gỡ bỏ cài đặt ứng dụng CamScanner. Vì trên thực tế, Google đã gỡ bỏ ứng dụng này khỏi Play Store chính thức.

Ửng dụng thay thế CamScaner: (Nhấp vào link hệ điều hành tương ứng để tải)

1. Office Lens (Microsoft):  Android,  iOS

2. Adobe Scan (Adobe): Android | iOS

3. Genius Scan (The Grizzly Labs): Android | iOS

Phát hiện Trojan Dropper trong Camscanner phiên bản miễn phí

CamScanner bất ngờ trở thành mối đe dọa khi các nhà nghiên cứu tìm thấy mô-đun Trojan Droppper ẩn trong ứng dụng, có thể cho phép kẻ tấn công từ xa bí mật tải xuống và cài đặt chương trình độc hại trên thiết bị Android của người dùng mà họ không hề hay biết.

Tuy nhiên, mô-đun độc hại không thực sự nằm trong mã nguồn của ứng dụng CamScanner Android mà thực chất là một phần của thư viện quảng cáo thuộc bên thứ 3 mới chỉ được thêm vào gần đây.

Các nhà nghiên cứu bảo mật Kaspersky đã khám phá ra lỗ hổng sau khi nhiều người dùng CamScanner phát hiện ra hành vi đáng ngờ và đăng các đánh giá tiêu cực trên Google Play Store trong vài tháng qua. Điều này cho thấy sự hiện diện của một tính năng không mong muốn tồn tại trong ứng dụng.

Kết quả phân tích mô-đun Trojan Dropper độc hại cho thấy thành phần tương tự có trong một số ứng dụng được cài sẵn trên các thiết bị điện thoại thông minh của Trung Quốc.

Mô-đun Trojan trích xuất và chạy một mô-đun độc hại khác

Các nhà nghiên cứu cảnh báo rằng mô-đun Trojen trích xuất và chạy một mô-đun độc hại khác từ một tệp được mã hóa có trong tài nguyên (resources) của ứng dụng.

Do đó, chủ sở hữu của mô-đun có thể sử dụng một thiết bị bị nhiễm để trục lợi với nhiều cách thức khác nhau từ hiển thị quảng cáo xâm nhập thiết bị cho đến ăn cắp tiền từ tài khoản di động bằng cách tính phí đăng ký.

Ngay sau khi nhận được báo cáo của Kaspersky, Google đã nhanh chóng gỡ bỏ ứng dụng Camscanner khỏi Play Store, tuy nhiên “có vẻ như các nhà phát triển ứng dụng đã loại bỏ mã độc với bản cập nhật mới nhất của CamScanner.”

Mặc dù vậy, các nhà nghiên cứu cũng cho biết các phiên bản của ứng dụng cho các thiết bị khác nhau là khác nhau. Trong số đó vẫn còn các phiên bản có thể chứa mã độc.

Phiên bản trả tiền của CamScanner không bị ảnh hưởng

Cần lưu ý rằng vì phiên bản trả tiền của ứng dụng CamScanner không bao gồm thư viện quảng cáo của bên thứ 3, bởi vậy không chịu ảnh hưởng của mô-đun độc hại và vẫn có sẵn trên Google Play Store.

Mặc dù Google đã tăng cường các nỗ lực nhằm loại bỏ các ứng dụng có khả năng gây hại khỏi Play Store trong vài năm qua, đồng thời bổ sung các quy trình kiểm tra phần mềm độc hại nghiêm ngặt hơn cho các ứng dụng mới, tuy nhiên các ứng dụng hợp pháp vẫn có thể bị các hacker khai thác để lừa đảo hàng triệu người dùng.

Sau tất cả, các nhà nghiên cứu đã kết luận rằng “Điều chúng ta có thể học được từ câu chuyện này là bất kỳ ứng dụng nào – thậm chí là một ứng dụng từ một cửa hàng chính thức, một ứng dụng có uy tín và thậm chí một ứng dụng có hàng triệu đánh giá tích cực với cơ sở người dùng lớn và trung thành có thể biến thành phần mềm độc hại chỉ sau một đêm.”

Giữ an toàn cho thiết bị của bạn!

Bạn cần đảm bảo luôn có một ứng dụng chống vi-rút hoạt động tốt và ổn định được cài đặt trên điện thoại Android của mình nhằm giúp phát hiện và ngăn chặn kịp thời các hoạt động độc hại trước khi chúng kịp lây nhiễm vào thiết bị cá nhân.

Bên cạnh đó, bạn cũng cần xem xét kỹ lưỡng các phản hồi đánh giá ứng dụng từ những người dùng khác, đồng thời xác minh các quyền của ứng dụng trước khi cho phép cài đặt bất kỳ ứng dụng nào trên thiết bị của mình. Lưu ý là bạn chỉ nên cấp các quyền có liên quan với mục đích sử dụng của ứng dụng.

Để biết thêm chi tiết kỹ thuật về phần mềm độc hại Trojan Dropper có trong CamScanner và danh sách đầy đủ các chỉ số thỏa hiệp (IOC) bao gồm các lệnh băm (hashes) MD5 và các miền máy chủ chỉ huy và kiểm soát của nó trong báo cáo của Kaspersky.

THN | cystack.net



Bài viết mới