Vào đầu tháng 3 năm 2025, các nhà nghiên cứu từ IAS Threat Lab đã phát hiện ra một chiến dịch độc hại lớn trên Google Play Store. Được các nhà nghiên cứu gọi là "Vapor", hoạt động này liên quan đến việc ẩn vi-rút, chẳng hạn như phần mềm quảng cáo hoặc phần mềm đánh cắp dữ liệu, trong mã của các ứng dụng được phân phối trên cửa hàng.
"Kế hoạch gian lận quảng cáo rộng lớn và tinh vi" này chủ yếu dựa vào việc chèn "quảng cáo video xen kẽ toàn màn hình vô tận và gây khó chịu". Bằng cách này, tội phạm mạng có thể nhanh chóng tạo ra doanh thu từ quảng cáo. Trong quá trình điều tra, IAS Threat Lab đã phát hiện 180 ứng dụng gian lận trên Play Store, tổng cộng hơn 56 triệu lượt tải xuống. Thật không may, đây chỉ là phần nổi của tảng băng chìm.
Trên thực tế, các ứng dụng này sẽ chuyển hướng người dùng đến các trang lừa đảo được thiết kế để lấy cắp mọi dữ liệu mà họ cung cấp. Các ứng dụng này được phát hiện hiển thị các trang đăng nhập Facebook và YouTube giả mạo. Tương tự như vậy, các trang chồng lên nhau đã tìm cách trích xuất dữ liệu ngân hàng từ người dùng Internet. Với dữ liệu đã khôi phục, tội phạm mạng có thể gây ra thảm họa.
Như Bitdefender giải thích trong báo cáo của mình, phần mềm độc hại ẩn trong các ứng dụng có vẻ vô hại, chẳng hạn như công cụ ghi chú, máy quét mã QR, giải pháp theo dõi sức khỏe, theo dõi chi phí hoặc các ứng dụng được thiết kế để tối ưu hóa tuổi thọ pin. Để xoa dịu sự nghi ngờ của người dùng, các ứng dụng thực sự được trang bị những tính năng đã hứa hẹn. Những kẻ lừa đảo sửa đổi "chức năng của các ứng dụng trước đây vô hại nhưng đã được cấp phép cho Cửa hàng Google Play, biến chúng thành phần mềm nguy hiểm". Các ứng dụng trong chiến dịch Vapor đã đạt được hơn 60 triệu lượt tải xuống. Hầu hết nạn nhân đều ở Brazil, Hoa Kỳ, Mexico, Thổ Nhĩ Kỳ và Hàn Quốc.
Để tránh bị chú ý, các ứng dụng cũng sẽ biến mất khỏi trình khởi chạy ứng dụng Android. Trong một số trường hợp, ứng dụng còn thay đổi tên và biểu tượng và trở thành ứng dụng phổ biến, chẳng hạn như ứng dụng Google. Tương tự như vậy, ứng dụng độc hại sẽ biến mất khỏi mục Gần đây, nơi liệt kê các ứng dụng được sử dụng gần đây. Người dùng không nhất thiết phải hiểu các quảng cáo gây phiền nhiễu xuất hiện trên màn hình điện thoại thông minh của họ đến từ đâu.
Bitdefender nhắc nhở rằng "Google Play Store thường là mục tiêu của tội phạm mạng khi cố gắng tải xuống các ứng dụng độc hại bằng cách bỏ qua các biện pháp bảo vệ hiện có". Mặc dù "Google xóa sổ các ứng dụng này khỏi kho ứng dụng", "tội phạm vẫn thích nghi". Đây là lý do tại sao người dùng nên rất cẩn thận khi tải ứng dụng từ Play Store. Bạn nên sử dụng các ứng dụng do các nhà phát triển nổi tiếng cung cấp. Trước khi cài đặt ứng dụng, hãy dành thời gian kiểm tra phần bình luận. Thông thường, chỉ cần nhìn lướt qua cũng có thể biết được ứng dụng có đang hiển thị quảng cáo gây phiền nhiễu hay không hoạt động như mong đợi.
Nguồn: Bitdfender
"Kế hoạch gian lận quảng cáo rộng lớn và tinh vi" này chủ yếu dựa vào việc chèn "quảng cáo video xen kẽ toàn màn hình vô tận và gây khó chịu". Bằng cách này, tội phạm mạng có thể nhanh chóng tạo ra doanh thu từ quảng cáo. Trong quá trình điều tra, IAS Threat Lab đã phát hiện 180 ứng dụng gian lận trên Play Store, tổng cộng hơn 56 triệu lượt tải xuống. Thật không may, đây chỉ là phần nổi của tảng băng chìm.
Hơn 300 ứng dụng độc hại
Vài tuần sau, các chuyên gia của Bitdefender đã điều tra chiến dịch Vapor. Các nhà nghiên cứu đã xác định được 331 ứng dụng độc hại trên cửa hàng Google. Những ứng dụng này không chỉ hiển thị "quảng cáo ngoài ngữ cảnh" mà còn tìm cách "thuyết phục nạn nhân cung cấp thông tin đăng nhập và thông tin thẻ tín dụng".Trên thực tế, các ứng dụng này sẽ chuyển hướng người dùng đến các trang lừa đảo được thiết kế để lấy cắp mọi dữ liệu mà họ cung cấp. Các ứng dụng này được phát hiện hiển thị các trang đăng nhập Facebook và YouTube giả mạo. Tương tự như vậy, các trang chồng lên nhau đã tìm cách trích xuất dữ liệu ngân hàng từ người dùng Internet. Với dữ liệu đã khôi phục, tội phạm mạng có thể gây ra thảm họa.
Như Bitdefender giải thích trong báo cáo của mình, phần mềm độc hại ẩn trong các ứng dụng có vẻ vô hại, chẳng hạn như công cụ ghi chú, máy quét mã QR, giải pháp theo dõi sức khỏe, theo dõi chi phí hoặc các ứng dụng được thiết kế để tối ưu hóa tuổi thọ pin. Để xoa dịu sự nghi ngờ của người dùng, các ứng dụng thực sự được trang bị những tính năng đã hứa hẹn. Những kẻ lừa đảo sửa đổi "chức năng của các ứng dụng trước đây vô hại nhưng đã được cấp phép cho Cửa hàng Google Play, biến chúng thành phần mềm nguy hiểm". Các ứng dụng trong chiến dịch Vapor đã đạt được hơn 60 triệu lượt tải xuống. Hầu hết nạn nhân đều ở Brazil, Hoa Kỳ, Mexico, Thổ Nhĩ Kỳ và Hàn Quốc.
Ngụy trang chuyên nghiệp
Để trốn tránh sự cảnh giác của Google, tin tặc đã sử dụng nhiều tài khoản nhà phát triển. Những tài khoản này đã nộp đơn đăng ký không chứa bất kỳ phần mềm độc hại nào. Chức năng tội phạm được tải xuống sau khi cài đặt với lý do cập nhật thường xuyên. Các ứng dụng này sẽ xuất hiện trên Play Store trong khoảng thời gian từ tháng 10 năm 2024 đến tháng 1 năm 2025.Để tránh bị chú ý, các ứng dụng cũng sẽ biến mất khỏi trình khởi chạy ứng dụng Android. Trong một số trường hợp, ứng dụng còn thay đổi tên và biểu tượng và trở thành ứng dụng phổ biến, chẳng hạn như ứng dụng Google. Tương tự như vậy, ứng dụng độc hại sẽ biến mất khỏi mục Gần đây, nơi liệt kê các ứng dụng được sử dụng gần đây. Người dùng không nhất thiết phải hiểu các quảng cáo gây phiền nhiễu xuất hiện trên màn hình điện thoại thông minh của họ đến từ đâu.
Google xóa ứng dụng
Được các nhà nghiên cứu cảnh báo, Google đã nhanh chóng xóa tất cả các ứng dụng được ghim khỏi nền tảng của mình. Nếu bạn tìm thấy một trong 300 ứng dụng này trên điện thoại thông minh Android của mình, chúng tôi khuyên bạn nên gỡ cài đặt ngay lập tức. Để đảm bảo an toàn, hãy dành thời gian so sánh ngăn kéo ứng dụng với danh sách ứng dụng trong Cài đặt. Bằng cách này, bạn có thể phát hiện các ứng dụng đã thay đổi giao diện.Bitdefender nhắc nhở rằng "Google Play Store thường là mục tiêu của tội phạm mạng khi cố gắng tải xuống các ứng dụng độc hại bằng cách bỏ qua các biện pháp bảo vệ hiện có". Mặc dù "Google xóa sổ các ứng dụng này khỏi kho ứng dụng", "tội phạm vẫn thích nghi". Đây là lý do tại sao người dùng nên rất cẩn thận khi tải ứng dụng từ Play Store. Bạn nên sử dụng các ứng dụng do các nhà phát triển nổi tiếng cung cấp. Trước khi cài đặt ứng dụng, hãy dành thời gian kiểm tra phần bình luận. Thông thường, chỉ cần nhìn lướt qua cũng có thể biết được ứng dụng có đang hiển thị quảng cáo gây phiền nhiễu hay không hoạt động như mong đợi.
Nguồn: Bitdfender
