Một ứng dụng bị nhiễm Sockbot.

Google khiến hàng chục nghìn người tải nhầm phần mềm giả mạo / Google gỡ 300 phần mềm vì lợi dụng tấn công DDoS

Các nhà nghiên cứu bảo mật của Symantec đưa ra cảnh báo dành cho người dùng Android về một loại mã độc mới có tên Sockbot, cho phép kẻ tấn công tạo lưu lượng truy cập quảng cáo giả mạo. Có ít nhất 8 ứng dụng "hợp pháp và phổ biến" với số lượt tải từ 600.000 đến 2,6 triệu đã bị nhiễm.

Tên gọi Sockbot xuất phát từ cách hoạt động của phần mềm độc hại này. Cụ thể, nó sẽ kết nối với máy chủ lệnh và kiểm soát (C&C), mở cổng bằng cơ chế SOCKS Proxy và kết nối đến một địa chỉ IP đã được chỉ định. Một khi đã kết nối, ứng dụng trong máy lập tức nhận danh sách quảng cáo và "siêu dữ liệu liên quan" (gồm loại quảng cáo, nội dung quảng cáo, kích thước màn hình thiết bị đích...) từ máy chủ, sau đó tự động chạy mà người dùng không hề hay biết.

Các ứng dụng nhiễm Sockbot đều có chung một tính năng là cố gắng thay đổi giao diện của nhân vật trong game Minecraft: Pocket Edition. Tuy nhiên, mục đích cụ thể vẫn là dùng phần mềm độc hại để tạo doanh thu quảng cáo bất hợp pháp.

Hiện tại, các nhà nghiên cứu cho rằng Sockbot vẫn chưa ảnh hưởng lớn đến người dùng nhưng hacker có thể dễ dàng mở rộng quy mô bằng cách tận dụng các lỗ hổng cũng như cơ chế vượt phần mềm an ninh. Khi đó, nguy cơ về một cuộc tấn công từ chối dịch vụ (DDoS) hoàn toàn có thể xảy ra.

Sau khi phát hiện, Symantec đã báo với Google và công ty cũng nhanh chóng xóa 8 ứng dụng nhiễm Sockbot khỏi Play Store. Tuy vậy, có thể nhiều người đã vô tình tải về chúng và nếu ai đã làm điều này, tốt nhất nên gỡ bỏ hoặc khôi phục cài đặt gốc cho máy nếu cần.

Theo vnexpress.net