Quảng cáo Facebook đã quảng bá ứng dụng có phần mềm độc hại HiddenAds,

Các nhà nghiên cứu tại Nhóm Nghiên cứu Di động của McAfee đã phát hiện ra một phần mềm độc hại mới, có tên là HiddenAds, trên Cửa hàng Google Play, nó ngụy trang thành một trình dọn dẹp hệ thống để xóa các tệp rác trên thiết bị hoặc một phần mềm có thể giúp tối ưu hóa tuổi thọ pin để quản lý thiết bị.

Các ứng dụng bị nhiễm virus ẩn mình và quảng bá rầm rộ trên Facebook, hiển thị quảng cáo liên tục cho nạn nhân theo nhiều cách khác nhau. Khi phần mềm độc hại này được cài đặt trên thiết bị của nạn nhân, chúng sẽ tự động chạy các dịch vụ độc hại khi cài đặt ngay cả khi không cần bất kỳ sự tương tác nào của người dùng để mở ứng dụng.

Để quảng bá các ứng dụng này cho người dùng mới, các tác giả phần mềm độc hại đã tạo các trang quảng cáo trên Facebook, vì nó là liên kết đến Google Play được phân phối thông qua phương tiện truyền thông xã hội hợp pháp, để lại ít nghi ngờ cho người dùng.

Các ứng dụng phần mềm quảng cáo lạm dụng thành phần Android của Nhà cung cấp Liên hệ, cho phép chuyển dữ liệu giữa thiết bị và các dịch vụ trực tuyến. Đối với điều này, Google cung cấp lớp ContactsContract, là hợp đồng giữa Nhà cung cấp Danh bạ và các ứng dụng.

“Trong ContactsContract, có một lớp gọi là Directory. Thư mục đại diện cho một kho liên hệ và được triển khai như một Nhà cung cấp nội dung với quyền hạn duy nhất của nó. Vì vậy, các nhà phát triển có thể sử dụng nó nếu họ muốn triển khai một thư mục tùy chỉnh. Nhà cung cấp liên hệ có thể nhận ra rằng ứng dụng đang sử dụng thư mục tùy chỉnh bằng cách kiểm tra siêu dữ liệu đặc biệt trong tệp kê khai, ”McAfee viết trong một bài đăng trên blog.

“Điều quan trọng là Nhà cung cấp liên hệ tự động thẩm vấn các gói mới được cài đặt hoặc thay thế. Do đó, việc cài đặt một gói chứa siêu dữ liệu đặc biệt sẽ luôn tự động gọi Nhà cung cấp liên hệ ”.

Hoạt động đầu tiên của phần mềm độc hại này là tạo ra một dịch vụ vĩnh viễn để hiển thị các quảng cáo. Nếu quá trình dịch vụ bị “giết” (chấm dứt), nó sẽ phục hồi ngay lập tức.

Tiếp theo, họ thay đổi biểu tượng và tên của mình bằng cách sử dụng thẻ để ẩn.

Theo McAfee, người dùng đã cài đặt các ứng dụng này từ 100K đến hơn 1 triệu. Dưới đây là danh sách số lượt tải xuống cao bất thường cho các ứng dụng như vậy:

1. Dọn ráccn.junk.clean.plp, hơn 1 triệu lượt tải xuống
2. EasyCleanercom.easy.clean.ipz, hơn 100 nghìn lượt tải xuống
3. Bác sĩ quyền lực,power.doctor.mnb, 500K + lượt tải xuống
4. Siêu sạchcom.super.clean.zaz, hơn 500 nghìn lượt tải xuống
5. Sạch sẽ-Clean Cache, org.stemp.fll.clean, hơn 1 triệu lượt tải xuống
6. Trình làm sạch đầu ngón taycom.fingertip.clean.cvb, hơn 500 nghìn lượt tải xuống
7. Dọn dẹp nhanh chóngorg.qck.cle.oyo, hơn 1 triệu lượt tải xuống
8. Giữ sạch sẽorg.clean.sys.lunch, hơn 1 triệu lượt tải xuống
9. Windy Cleanin.phone.clean.www, hơn 500 nghìn lượt tải xuống
10. Làm sạch thảmog.crp.cln.zda, hơn 100 nghìn lượt tải xuống
11. Làm sạch mátsyn.clean.cool.zbc, hơn 500 nghìn lượt tải xuống
12. Sạch sẽ mạnh mẽin.memory.sys.clean, hơn 500 nghìn lượt tải xuống
13. Sao băng sạchorg.ssl.wind.clean, hơn 100 nghìn lượt tải xuống

Hầu hết những người dùng bị ảnh hưởng thuộc về các quốc gia như Hàn Quốc, Nhật Bản và Brazil. McAfee đã tiết lộ mối đe dọa này với Google và tất cả các ứng dụng được báo cáo đã bị gã khổng lồ tìm kiếm xóa khỏi Play Store.

Trong trường hợp, nếu bạn đã cài đặt bất kỳ ứng dụng nào nói trên trên điện thoại thông minh Android của mình, bạn nên gỡ cài đặt chúng theo cách thủ công khỏi thiết bị.