Sau khi tải xuống, các ứng dụng giả mạo ẩn mình trên thiết bị của nạn nhân và tiếp tục hiển thị quảng cáo toàn màn hình cứ sau 15 phút.
Ít nhất 85 ứng dụng giả chứa phần mềm quảng cáo, được ngụy trang dưới dạng trò chơi, TV và ứng dụng giả lập điều khiển từ xa đã bị xóa khỏi cửa hàng ứng dụng Google Play.
Các nhà nghiên cứu của Trend Micro cho biết hôm thứ ba vừa qua rằng họ đã tìm thấy rất nhiều các phần mềm quảng cáo đang hoạt động trong các ứng dụng giả trên cửa hàng Google Play đã được tải xuống với con số khổng lồ 9 triệu lần trên toàn thế giới. Sau khi tải xuống, các ứng dụng giả mạo ẩn mình trên thiết bị của nạn nhân và tiếp tục hiển thị quảng cáo toàn màn hình cứ sau 15 phút.
Phần mềm quảng cáo này có khả năng hiển thị quảng cáo toàn màn hình, ẩn mình, theo dõi chức năng mở khóa màn hình của thiết bị và chạy trong nền của thiết bị di động, Ecl Ecular Xu, kỹ sư ứng phó mối đe dọa di động với Trend Micro, cho biết trong báo cáo. Sau khi xác minh báo cáo Google đã nhanh chóng đình chỉ các ứng dụng giả mạo từ Play store.
Sau khi quảng cáo ban đầu được đóng, ứng dụng giả mạo sau đó sẽ hiển thị các lời nhắc như Khởi động, ứng dụng mở ứng dụng, hoặc ứng dụng tiếp theo – nhưng nhấn vào các nút này sẽ hiển thị một quảng cáo toàn màn hình khác.
Sau đó, ứng dụng sẽ thông báo cho người dùng rằng nó đang tải hoặc đệm – nhưng sau đó biến mất khỏi màn hình điện thoại và ẩn biểu tượng của ứng dụng trên thiết bị. Các nhà nghiên cứu cho biết, ứng dụng giả mạo vẫn chạy trong nền của thiết bị sau khi ẩn và được định cấu hình để tiếp tục hiển thị quảng cáo trên thiết bị của người dùng.
Các ứng dụng này có thể làm như vậy bằng cách đăng ký một mô-đun máy thu nhận trong AndroidManifest.xml để mỗi lần người dùng mở khóa thiết bị, nó sẽ kích hoạt quảng cáo toàn màn hình bật lên, theo Xu.Một số ứng dụng giả mạo thể hiện một hành vi thậm chí còn tinh vi hơn, trong đó chúng giám sát hành động của nạn nhân và hiển thị quảng cáo mỗi khi người dùng mở khóa màn hình của thiết bị di động, các nhà nghiên cứu cho biết.
Mặc dù họ đến từ các công ty khác nhau, các nhà nghiên cứu nói rằng các ứng dụng giả mạo dường như có hành vi tương tự và chia sẻ cùng một mã, cho thấy phần mềm quảng cáo đến từ cùng một gia đình: Hồi Chúng tôi đã thử nghiệm từng ứng dụng giả liên quan đến gia đình phần mềm quảng cáo và phát hiện ra rằng mặc dù họ đến từ các nhà sản xuất khác nhau và có các khóa công khai chứng chỉ APK khác nhau, họ thể hiện các hành vi tương tự và chia sẻ cùng một mã, họ nói.
Một trong những ứng dụng được tải xuống nhiều nhất có chứa phần mềm quảng cáo là Remote Easy TV Remote, cho biết nó cho phép người dùng điều khiển TV bằng điện thoại thông minh của họ. Ứng dụng, được cung cấp bởi một công ty có tên là Big Fishes, đã được tải xuống hơn 5 triệu lần.
Xếp hạng tiêu cực trong phần đánh giá của ứng dụng trên Google Play đã đưa ra manh mối đáng ngờ rằng ứng dụng này là phần mềm quảng cáo, bao gồm cả tuyên bố rằng nó đã khiến điện thoại bị sập và nó biến mất trong không khí sau khi tải xuống.
Để xóa ứng dụng giả, người dùng có thể gỡ cài đặt thủ công trên tính năng gỡ cài đặt ứng dụng của điện thoại. Tuy nhiên, có thể rất khó để đến đó khi quảng cáo toàn màn hình hiển thị cứ sau 15 hoặc 30 phút hoặc mỗi lần người dùng mở khóa màn hình của thiết bị, các nhà nghiên cứu của ông cho biết.
Phần mềm quảng cáo đã tiếp tục xuất hiện trên các chợ ứng dụng chính thức. Năm ngoái, Google đã gỡ bỏ 22 ứng dụng phần mềm quảng cáo độc hại, từ đèn pin, máy ghi âm cuộc gọi đến bộ tăng tốc tín hiệu WiFi đã được tải xuống tới 7,5 triệu lần từ thị trường Google Play.
Mike Bittner, giám đốc vận hành và bảo mật kỹ thuật số tại The Media Trust, nói rằng phần mềm quảng cáo không chỉ gây phiền toái: Nó có thể được sử dụng cho các mục đích độc hại hơn như chỉ đạo các thiết bị đánh cắp thông tin được liên kết với thiết bị của người dùng; tải các tập tin không mong muốn; và chuyển hướng người dùng đến các trang web độc hại.
Ông nói nó tương đương với sự tiếp quản thù địch của trình duyệt của người dùng, ông nói. “Khi diễn viên xấu có thể thu thập thông tin ồ ạt , họ có thể bán các thông tin trên web tối hoặc Parlay rằng thông tin cho các hoạt động cho phép diễn viên xấu để thực hiện hành vi trộm cắp danh tính hoặc cử tri ảnh hưởng nhắm mục tiêu.”