Các nhà nghiên cứu bảo mật tại McAfee đã phát hiện ra một tập hợp 16 ứng dụng clicker độc hại đã xâm nhập vào Google Play, cửa hàng ứng dụng chính thức dành cho Android.
Ứng dụng clicker là gì?
Đây là một loại phần mềm quảng cáo chuyên tải quảng cáo trong các khung vô hình hoặc chạy trong nền và khi bạn nhấp vào chúng để tạo doanh thu cho các publisher. Các ứng dụng dạng này sẽ ảnh hưởng đến thiết bị: có thể là giảm hiệu suất, quá nóng, tăng mức sử dụng pin và tăng phí dữ liệu di động.
Hiện tại danh sách McAfee đưa ra gồm 16 ứng dụng (đã bị xóa khỏi Google Play). Tuy nhiên, chúng vẫn tích lũy được số lượt cài đặt là 20 triệu.
Mới nhất trong danh sách này là ứng dụng DxClean được cài đặt năm triệu lần trước khi bị gỡ bỏ. Nó đã có một đánh giá tổng thể tương đối tích cực của người dùng là 4,1 trên 5 sao. DxClean là tiện ích được gắn mác là trình dọn dẹp và tối ưu hóa hệ thống, hứa hẹn sẽ phát hiện nguyên nhân gây ra sự chậm chạp của hệ thống và ngăn chặn những phiền toái về quảng cáo nhưng có vẻ chúng làm điều ngược lại khi thực hiện các hành động làm chậm máy và hao pin trong nền.
Ứng dụng clicker hoạt động thế nào?
Các ứng dụng clicker sau khi được cài đặt sẽ tải xuống cấu hình của chúng từ một vị trí từ xa thông qua một yêu cầu HTTP và đăng ký một trình nghe FCM (Firebase Cloud Messaging) để nhận thông báo đẩy. Những thông báo này chứa các hướng dẫn cho các trình nhấp chuột, chẳng hạn như chức năng nào sẽ gọi và những thông số nào để sử dụng.
“Khi một tin nhắn FCM nhận được và đáp ứng một số điều kiện, chức năng bắt đầu hoạt động,” McAfee giải thích trong báo cáo. Các nhà nghiên cứu cho biết thêm: “Chủ yếu, nó truy cập các trang web được gửi bằng tin nhắn FCM và duyệt chúng liên tiếp trong nền”. Chức năng tự động nhấp được xử lý bởi thành phần ‘click.cas’, trong khi tác nhân quản lý các dịch vụ phần mềm quảng cáo ẩn là ‘com.liveposting’.
Các nhà phân tích của McAfee cho biết liveposting SDK cũng có thể tự hoạt động, có thể chỉ tạo các lần hiển thị quảng cáo, nhưng các phiên bản gần đây của ứng dụng có cả hai thư viện là hiển thị và tự click quảng cáo. Nạn nhân cài nhầm các app này không bao giờ tương tác với các trang web đã mở và khó có thể nhận ra các quy trình ngầm tạo ra lợi nhuận cho các publisher này.
Các ứng dụng độc hại này thậm chí không bắt đầu trong giờ đầu tiên sau khi cài đặt ứng dụng. Một số cách để phát hiện ra các ứng dụng dạng này có trên thiết bị hay không, người dùng nên kiểm tra mức sử dụng pin và internet. Nếu hệ thống không được sử dụng trong một khoảng thời gian, không có lý do gì cho việc tiêu hao pin cao hơn và tăng mức tiêu thụ dữ liệu di động thì bạn đã cài nhầm một ứng dụng clicker.