Ứng dụng Android chứa mã độc sử dụng cảm biến chuyển động để tránh bị phát hiện

Vừa qua, hai ứng dụng chứa mã độc điển hình trên Play Store đã bị các nhà chuyên gia bảo mật cao cấp thuộc nhóm nghiên cứu bảo mật Trend Micro “vạch mặt”, và đồng thời họ cũng phát hiện ra rằng đã có hàng ngàn người dùng Android đã tải xuống và cài đặt hai phần mềm độc hại này, đồng nghĩa với nguy cơ lây lan mã độc kiểu mới trên hàng nghìn thiết bị khác nhau.

Các ứng dụng bị phát hiện có chứa mã độc kiểu mới này bao gồm một ứng dụng chuyển đổi tiền tệ có tên là Currency Converter, và một ứng dụng tối ưu pin có tên là BatterySaverMobi. Tệ hại hơn, các ứng dụng Android độc hại này lại được rất nhiều người dùng tin tưởng cài đặt trên thiết bị của mình do chúng sử dụng khá nhiều đánh giá năm sao giả mạo. Cụ thể, mã độc có trên hai ứng dụng này sử dụng cảm biến chuyển động của các thiết bị Android bị lây nhiễm để theo dõi và ẩn nấp trước khi tự động cài đặt một Trojan nguy hiểm có tên là Anubis. Thủ thuật thông minh này nguy hiểm hơn các kỹ thuật ẩn nấp truyền thống thường thấy trên các loại mã độc đã biết ở chỗ chúng có thể ẩn nấp trong một bộ phận phần cứng riêng biệt như cảm biến chuyển động để tránh bị phát hiện khi các nhà nghiên cứu chạy trình giả lập (ít sử dụng cảm biến) để quét các ứng dụng độc hại đó.

“Khi người dùng di chuyển, thiết bị của họ thường tạo ra một lượng dữ liệu cảm biến chuyển động. Những kẻ phát triển loại phần mềm độc hại này giả định rằng sandbox được sử dụng để quét phần mềm độc hại là trình giả lập không có cảm biến chuyển động và do đó, sẽ không tạo ra loại dữ liệu như vậy. Trong trường hợp này, các chuyên gia bảo mật có thể xác định xem ứng dụng có chạy trong môi sandbox hay không bằng cách kiểm tra dữ liệu cảm biến”, các nhà nghiên cứu thuộc nhóm nghiên cứu bảo mật Trend Micro giải thích trong một bài đăng trên blog được công bố vào thứ năm tuần trước.

Sau khi được tải xuống và cài đặt, ứng dụng độc hại sẽ sử dụng cảm biến chuyển động của thiết bị để phát hiện xem người dùng hoặc thiết bị này có đang di chuyển hay không nhằm điều chỉnh các hành vi của mã độc và lẩn tránh sự phát hiện từ người dùng cũng như các ứng dụng bảo mật.

Sau đó, ngay khi tiếp cận được với dữ liệu cảm biến, ứng dụng sẽ tiến hành chạy mã độc và cố gắng lừa các nạn nhân tải xuống cũng như cài đặt APK Anubis độc hại thông qua các bản cập nhật hệ thống không có thật, núp bóng dưới dạng là một “phiên bản cập nhật ổn định của Android”.

Nếu người dùng chấp thuận tải về bản cập nhật hệ thống giả, các trình lây lan phần mềm độc hại tích hợp sẽ sử dụng các yêu cầu và phản hồi đối với các dịch vụ hợp pháp bao gồm Twitter và Telegram… để kết nối với máy chủ chỉ huy và kiểm soát (C