Google xóa sổ 224 ứng dụng độc hại Android đứng sau chiến dịch gian lận quảng cáo quy mô lớn
Chiến dịch gian lận quảng cáo Android khổng lồ mang tên ‘SlopAds’ vừa bị triệt phá, sau khi phát hiện 224 ứng dụng độc hại trên Google Play đã tạo ra tới 2,3 tỷ lượt yêu cầu quảng cáo mỗi ngày.
Theo báo cáo mới từ nhóm nghiên cứu và phân tích an ninh mạng Satori Threat Intelligence thuộc công ty công nghệ an ninh mạng Human (Mỹ), chiến dịch gian lận quảng cáo quy mô lớn mang tên ‘SlopAds’ đã bị vạch trần.
Nhóm nghiên cứu cho biết, hơn 224 ứng dụng độc hại liên quan đến chiến dịch này đã được tải xuống hơn 38 triệu lần trên Google Play, trước khi bị phát hiện và gỡ bỏ. Các ứng dụng trên không chỉ ẩn giấu hành vi gian lận tinh vi bằng kỹ thuật che giấu và chèn chữ ẩn, mà còn vượt qua được nhiều cơ chế bảo mật của Google và các công cụ phòng vệ khác.
SlopAds không phải là hiện tượng cục bộ mà được triển khai trên phạm vi toàn cầu, với người dùng tại 228 quốc gia bị ảnh hưởng. Hệ thống gian lận này đã tạo ra trung bình 2,3 tỷ yêu cầu đặt giá thầu quảng cáo mỗi ngày, khiến thị trường quảng cáo trực tuyến chịu tổn thất nặng nề. Lượng hiển thị quảng cáo tập trung nhiều nhất đến từ Mỹ (30%), tiếp theo là Ấn Độ (10%) và Brazil (7%).
Các nhà nghiên cứu cho rằng, những ứng dụng độc hại này được tạo ra hàng loạt với chất lượng thấp, giống như ‘AI slop’ - nội dung rác do AI tạo ra. Đồng thời, cụm từ này cũng ám chỉ kho ứng dụng và dịch vụ liên quan đến AI được phát hiện trên máy chủ điều khiển của nhóm tội phạm mạng đứng sau chiến dịch.
Từ hợp pháp thành độc hại chỉ trong một cú chạm
Những kẻ đứng sau chiến dịch SlopAds đã tinh vi thiết kế cơ chế cho phép ứng dụng biến đổi từ “hợp pháp” thành công cụ gian lận ngay sau khi lọt vào máy người dùng. Để né được quy trình kiểm duyệt của Google Play và lớp bảo vệ của Android, chúng dùng loạt thủ thuật kỹ thuật nhằm che giấu hành vi độc hại đến phút chót.
Khi người dùng chủ động cài ứng dụng từ Play Store, phần mềm ban đầu chạy như một ứng dụng bình thường, không có dấu hiệu bất thường. Nhưng nếu người dùng tiếp cận ứng dụng thông qua một liên kết quảng cáo do kẻ tấn công phát tán, bản cài sẽ kích hoạt kịch bản độc hại sau khi lướt qua một loạt kiểm tra.
Ứng dụng sẽ dò xem nó được cài qua Play Store hay qua nguồn khác, nếu “điều kiện” thỏa mãn, nó tải về một tệp cấu hình được mã hóa chứa đường dẫn đến mô-đun gian lận, máy chủ rút tiền và một đoạn mã JavaScript do kẻ tấn công cung cấp.
Kế tiếp, ứng dụng tải 4 file ảnh định dạng PNG có vẻ vô hại, thủ thuật này là một dạng chèn dữ liệu vào ảnh. Những ảnh PNG thực chất chứa mã hoặc phần tệp APK được mã hóa.
Trên thiết bị mục tiêu, ảnh được giải mã và ghép lại để tạo thành mô-đun phần mềm độc hại thực sự. Khi kích hoạt, mô-đun này sử dụng một WebView ẩn để thu thập thông tin thiết bị, giả lập truy cập người dùng thật và điều hướng tới mạng lưới tên miền do kẻ tấn công kiểm soát.
Những tên miền này mạo danh các trang game và tin tức, liên tục hiển thị WebView ẩn, một hành vi tạo ra hàng tỷ lượt hiển thị và nhấp chuột ảo mỗi ngày, biến lưu lượng giả thành doanh thu thực cho kẻ gian.
Kỹ thuật che giấu tinh vi và quy trình kích hoạt theo ngữ cảnh chính là lý do khiến SlopAds khó bị phát hiện và đặc biệt nguy hiểm cho hệ sinh thái quảng cáo số.
Cách bảo vệ bản thân khỏi các ứng dụng gian lận quảng cáo
Dù nhóm Satori Threat Intelligence của Human chưa công bố danh sách chi tiết 224 ứng dụng nằm trong chiến dịch SlopAds, nhưng tin vui là toàn bộ chúng đã bị gỡ khỏi Google Play.
Người dùng cũng không cần quá lo lắng về việc tự tay kiểm tra, bởi Google đã cập nhật Play Protect, lớp bảo mật tích hợp sẵn trên Android để tự động quét, cảnh báo và yêu cầu gỡ bỏ nếu phát hiện ứng dụng nguy hại trên điện thoại hoặc máy tính bảng.
Tuy nhiên, điều đó không có nghĩa bạn có thể mất cảnh giác. Các ứng dụng quảng cáo độc hại không chỉ đơn thuần ăn cắp dữ liệu hay gian lận hiển thị, mà còn gây ra những hệ lụy khó lường.
Hãy thử hình dung, điện thoại của bạn âm thầm tải hàng loạt trang web ngẫu nhiên suốt cả ngày, hậu quả là ngốn sạch dữ liệu di động, bào mòn pin và làm nóng máy, lâu dài còn rút ngắn tuổi thọ linh kiện. Trong nhiều trường hợp, người dùng buộc phải thay thiết bị sớm hơn dự kiến chỉ vì cài đặt nhầm những ứng dụng tưởng như vô hại này.
Dù SlopAds không nguy hiểm bằng các loại phần mềm độc hại chuyên đánh cắp thông tin hay chiếm quyền kiểm soát thiết bị, nó vẫn cho thấy một thực tế là người dùng tải ứng dụng ngoài hoặc ứng dụng không rõ nguồn gốc phải đối mặt với rủi ro cao hơn nhiều so với khi chỉ sử dụng các app chính thức trên Google Play Store.
Để tăng thêm lớp phòng vệ, bạn có thể cân nhắc cài đặt một ứng dụng diệt virus uy tín cho Android song song với Play Protect. Nếu muốn được bảo vệ toàn diện hơn trước các mối nguy như tin tặc, kẻ lừa đảo hay thậm chí trộm danh tính, các dịch vụ bảo vệ danh tính số cũng là lựa chọn đáng lưu tâm.
Với số tiền khổng lồ mà chiến dịch gian lận quảng cáo có thể mang lại cho tội phạm mạng, SlopAds chắc chắn không phải là chiêu trò cuối cùng. Các chuyên gia bảo mật tin rằng kẻ đứng sau có thể sớm tái xuất với một chiến dịch tương tự, tinh vi hơn.
Và điều đó chỉ củng cố thêm một lời nhắc nhở quen thuộc nhưng chưa bao giờ cũ, đó là hãy cẩn trọng với những gì bạn tải xuống, vì một cú nhấp chuột sai lầm có thể phải trả một cái giá đắt./.