Theo ArsTechnica, nếu điện thoại Android của bạn hoạt động ́ ạch, gần như tê liệt, th́ đây là thông tin dành cho bạn. Một phần mềm quảng cáo được ngụy trang rất cẩn thận bên trong các ứng dụng đă được Google duyệt trên Google Play mạnh đến nỗi nó khiến các thiết bị gần như không thể sử dụng nổi, các nhà nghiên cứu của hăng bảo mật Lookout cho biết. Phần mềm quảng cáo này đă đạt hơn 440 triệu lượt cài đặt.
BeiTaAd, phần mềm quảng cáo nói trên, là một plugin mà Lookout cho biết được t́m thấy ẩn trong bàn phím biểu tượng cảm xúc TouchPal và 237 ứng dụng khác, do công ty CooTek có trụ sở tại Thượng Hải, Trung Quốc, sản xuất. Cùng với nhau, 238 ứng dụng này đă có tổng cộng 440 triệu lượt cài đặt. Sau khi cài đặt, các ứng dụng ban đầu hoạt động b́nh thường. Sau đó, sau một khoảng thời gian tŕ hoăn từ 24 giờ đến 14 ngày, plugin BeiTaAd sẽ bắt đầu phân phối cái được gọi là quảng cáo ngoài ứng dụng. Những quảng cáo này xuất hiện trên màn h́nh khóa của người dùng và kích hoạt âm thanh và video vào những thời điểm dường như ngẫu nhiên hoặc ngay cả khi điện thoại đang ngủ.
"Vợ tôi đang gặp vấn đề này", một người cho biết hồi tháng 11 trong chủ đề thảo luận về BeiTaAd. "Điện thoại sẽ xuất hiện quảng cáo ngẫu nhiên ở giữa các cuộc gọi điện thoại, khi đồng hồ báo thức của cô ấy tắt hoặc bất cứ khi nào cô ấy sử dụng bất kỳ chức năng nào khác trên điện thoại của ḿnh. Chúng tôi không thể t́m thấy bất kỳ thông tin nào khác về điều này. Nó cực kỳ khó chịu và gần như khiến điện thoại của cô ấy không sử dụng được".
Báo cáo của Lookout cho biết các nhà phát triển 238 ứng dụng trên đă cố gắng hết sức để che giấu plugin. Các phiên bản đầu tiên của ứng dụng đă kết hợp nó dưới dạng tệp dex không được mă hóa có tên beita.renc trong thư mục tài sản / thành phần. Việc đổi tên có tác dụng khiến người dùng khó xác định tệp chịu trách nhiệm thực thi mă.
Sau đó, các nhà phát triển ứng dụng đă đổi tên plugin thành biểu tượng mờ hơn-icomoon-gemini.renc và mă hóa nó bằng Tiêu chuẩn mă hóa nâng cao. Các nhà phát triển đă xáo trộn khóa giải mă thông qua một loạt các hàm được chôn trong một gói có tên com.android.utils.ha des.sdk. Trong các phiên bản sau, các nhà phát triển vẫn sử dụng thư viện của bên thứ ba có tên StringFog, sử dụng mă hóa dựa trên XOR và base64 để ẩn mọi phiên bản của chuỗi "BeiTa" trong các tệp.
"Tất cả các ứng dụng chúng tôi đă phân tích có chứa plugin BeiTaAd đă được CooTek xuất bản và tất cả các ứng dụng CooTek chúng tôi đă phân tích đều chứa plugin này", Kristina Balaam, một kỹ sư t́nh báo bảo mật tại Lookout, viết trong email. "Nhà phát triển cũng đă cố gắng hết sức che giấu sự hiện diện của plugin trong ứng dụng, cho thấy rằng họ có thể đă nhận thức được bản chất vấn đề của SDK này".
Lookout đă báo cáo hành vi của BeiTaAd cho Google và các ứng dụng chịu trách nhiệm sau đó đă bị xóa khỏi Play hoặc được cập nhật để xóa plugin lạm dụng. Không có dấu hiệu nào cho thấy CooTek sẽ bị cấm hoặc bị trừng phạt v́ vi phạm các điều khoản dịch vụ của Google Play trên quy mô lớn như vậy và v́ đă thực hiện các bước đă làm để che giấu vi phạm. 237 ứng dụng CooTek c̣n lại nhúng plugin được liệt kê tại đây.
Theo Arstechnica, cho đến khi Google có hành động kiểm soát các ứng dụng độc hại và lạm dụng, người dùng Android vẫn nên nghi ngờ Google Play và tải ứng dụng một cách thận trọng.
Theo ArsTechnica
News
Library
Technology
Giải Trí
Portals
Tin Sốt
Home
