Các nhà nghiên cứu tại công ty bảo mật di động Doctor Web vừa phát hiện một loại mã độc chuyên gian lận quảng cáo (click-fraud) mới trên những thiết bị chạy hệ điều hành Android.
Theo đó, mã độc có thể hoạt động ở chế độ "phantom" (bóng ma). Chế độ này sử dụng một trình duyệt nhúng dựa trên WebView ẩn để tải trang web mục tiêu, nhằm tự động hóa các hành động trên quảng cáo hiển thị.
Sau khi tải mô hình đã được huấn luyện từ máy chủ từ xa, trình duyệt ẩn sẽ được thiết lập trên một màn hình ảo. Mã độc sẽ mô phỏng các hoạt động bình thường của người dùng, từ đó thực hiện hành vi gian lận quảng cáo.
Chế độ thứ hai được gọi là "signalling" (báo hiệu). Mã độc sử dụng WebRTC để truyền phát luồng video trực tiếp từ trình duyệt ảo tới những kẻ tấn công, cho phép chúng thực hiện các hành động trong thời gian thực như chạm, cuộn và nhập văn bản.
Kẻ tấn công phát tán mã độc này thông qua các ứng dụng và trò chơi trên một số kho ứng dụng của bên thứ ba. Ban đầu, các ứng dụng được tải lên không có mã độc, sau đó các thành phần độc hại mới được thêm vào trong các bản cập nhật tiếp theo.
Một số phần mềm độc hại được các chuyên gia tại Doctor Web xác định:
- Theft Auto Mafia (hơn 61.000 lượt tải xuống)
- Cute Pet House (hơn 34.000 lượt tải xuống)
- Creation Magic World (hơn 32.000 lượt tải xuống)
- Amazing Unicorn Party (hơn 13.000 lượt tải xuống)
- Open World Gangsters (hơn 11.000 lượt tải xuống)
- Sakura Dream Academy (hơn 4.000 lượt tải xuống)
Mã độc gian lận quảng cáo không đe dọa trực tiếp đến quyền riêng tư và dữ liệu của người dùng. Tuy nhiên, chúng ảnh hưởng không nhỏ đến thiết bị như gây hao pin, làm giảm tuổi thọ sản phẩm và tăng chi phí dữ liệu di động.
Để tránh những rủi ro trên, các chuyên gia khuyến cáo người dùng điện thoại Android không nên cài đặt ứng dụng bên ngoài Google Play.
