Phương thức này gọi là Versioning, vừa được nhóm bảo mật Google mô tả trong báo cáo Threat Horizons đầu tháng 8. Theo đó, kẻ tấn công trước hết sẽ tạo một phiên bản ứng dụng trông có vẻ hợp pháp để được chấp thuận lên kho ứng dụng Google Play, từ đó người dùng có thể tải về mà không nghi ngờ.
"Sau đó, ứng dụng sẽ nhận được bản cập nhật từ máy chủ bên thứ ba, thay đổi mã của ứng dụng đã cài trên thiết bị và kích hoạt hành động độc hại", báo cáo viết.
Hình minh họa mã độc trên Android. Ảnh: BleepingComputer
Theo hãng, đây là hành vi vi phạm chính sách của kho ứng dụng và được coi là lừa đảo. Hãng yêu cầu mọi ứng dụng phát hành qua Play Store không thay đổi, hoặc tự động cập nhật thông qua bất cứ cơ chế nào ngoài cơ chế cập nhật chính thức từ Play Store. Ngoài ra, ứng dụng cũng bị cấm tải xuống các loại file thực thi như dex, JAR.
Các ứng dụng có nguy cơ gây hại được ước tính chiếm dưới 1% lượt tải từ Play Store. Nếu bị phát hiện, ứng dụng sẽ bị xóa khỏi kho, đồng thời tài khoản của nhà phát triển cũng bị khóa. Tuy nhiên, kẻ tấn công dùng kỹ thuật DCL (nạp mã động) để vượt qua các biện pháp kiểm soát. Kỹ thuật này giúp ứng dụng có thể tải xuống và nạp code từ những nguồn không xác thực.
Một ví dụ điển hình của việc sử dụng DCL là mã độc SharkBot, xuất hiện năm 2021 và có mặt trong nhiều vụ tấn công gần đây. Đây là mã độc đánh cắp tiền trong tài khoản di động của chủ máy Android.
Trong những vụ được phát hiện, SharkBot ngụy trang dưới dạng phần mềm diệt virus cho Android hoặc phần mềm tiện ích và lây nhiễm trên hàng nghìn thiết bị của người dùng nhờ qua được biện pháp kiểm soát từ Play Store. Sau khi người dùng download, ứng dụng sẽ bị "trojan hóa", tải về bản đầy đủ của mã độc.
Theo Google, để giảm nguy cơ từ phương thức Versioning, người dùng nên tải ứng dụng từ những nhà phát triển có tiếng và uy tín. Nếu chọn ứng dụng từ một nhà phát triển ít tên tuổi, cần cân nhắc và xem xét chuỗi cung ứng của ứng dụng.
