Các nhà nghiên cứu đã phát hiện một chiến dịch gian lận quảng cáo (ad fraud) quy mô lớn trên Google Play Store.
Nhóm Satori Threat Intelligence and Research đã xác định 224 ứng dụng độc hại với hơn 38 triệu lượt tải xuống, tạo ra tới 2,3 tỷ yêu cầu quảng cáo mỗi ngày. Họ đặt tên cho chiến dịch này là “SlopAds.”
Ad fraud là một hình thức gian lận, trong đó các nhà quảng cáo phải trả tiền cho số lần hiển thị quảng cáo bị phóng đại bất thường so với thực tế.
Dù nạn nhân chính của ad fraud là các nhà quảng cáo, người dùng cài đặt các ứng dụng này cũng chịu ảnh hưởng: thiết bị bị chậm, kết nối mạng giảm hiệu suất do các tiến trình độc hại chạy ngầm mà người dùng không hề hay biết.
Ban đầu, để qua mặt cơ chế kiểm duyệt của Google và các phần mềm bảo mật, ứng dụng sẽ hoạt động đúng như quảng cáo nếu được cài đặt trực tiếp từ Play Store. Tuy nhiên, nếu việc cài đặt bắt nguồn từ một quảng cáo trong chiến dịch, thiết bị người dùng sẽ tải thêm các tệp bổ sung, được mã hóa bằng kỹ thuật steganography.
Nếu ứng dụng vượt qua bước kiểm tra đầu tiên, nó sẽ nhận về 4 tệp .png. Khi được giải mã và ghép lại, thực chất đây là một tệp .apk độc hại. File này lợi dụng WebView (một trình duyệt cơ bản) để gửi thông tin thiết bị và trình duyệt về máy chủ Điều khiển & Chỉ huy (C2 server). Từ dữ liệu này, máy chủ C2 quyết định những tên miền nào sẽ được mở trong các WebView ẩn để phục vụ gian lận quảng cáo.
Đáng chú ý, các nhà nghiên cứu còn phát hiện bằng chứng cho thấy có một công cụ AI (Trí tuệ nhân tạo) được huấn luyện trên cùng một miền với C2 server (ad2[.]cc). Tuy nhiên, chưa rõ công cụ này có trực tiếp điều phối chiến dịch hay không.
Dựa trên các điểm tương đồng về hạ tầng, nhóm nghiên cứu đã tìm thấy hơn 300 tên miền liên quan đến SlopAds, cho thấy 224 ứng dụng bị phát hiện chỉ là phần nổi của tảng băng chìm.
Google đã gỡ bỏ toàn bộ các ứng dụng bị liệt kê trong báo cáo. Ngoài ra, Google Play Protect cũng tự động bảo vệ người dùng bằng cách cảnh báo và chặn cài đặt các ứng dụng có hành vi liên quan đến SlopAds trên thiết bị Android được chứng nhận, ngay cả khi cài đặt từ nguồn bên ngoài Play Store.
Danh sách đầy đủ các ứng dụng bị gỡ bỏ: SlopAds App List
Cách Phòng Tránh Cài Đặt Ứng Dụng Độc Hại
Mặc dù Google Play Store là nơi an toàn nhất để tải ứng dụng, nhưng không có nghĩa mọi ứng dụng trên đó đều vô hại. Người dùng nên thực hiện thêm các biện pháp sau:
-
Kiểm tra quyền truy cập (permissions) mà ứng dụng yêu cầu. Đặt câu hỏi: Quyền này có thực sự cần thiết cho chức năng của ứng dụng không? Tại sao quyền lại thay đổi sau bản cập nhật?
-
Rà soát ứng dụng định kỳ trên thiết bị và gỡ bỏ những ứng dụng không còn sử dụng.
-
Cập nhật thường xuyên hệ điều hành và các ứng dụng quan trọng (ngân hàng, bảo mật…).
-
Trang bị giải pháp bảo mật cho Android. Điện thoại cũng cần phần mềm bảo mật giống như máy tính.
-
Nghiên cứu kỹ ứng dụng trước khi tải. Nhiều ứng dụng giả mạo được thiết kế giống hệt các ứng dụng hợp pháp phổ biến (ví dụ: ChatGPT).
Điều quan trọng là người dùng phải xác minh nhà phát triển chính thức của ứng dụng. Ví dụ: trên Mac App Store có rất nhiều ứng dụng “nhái” ChatGPT, nhưng OpenAI chưa hề phát hành ChatGPT cho nền tảng này. ChatGPT hiện chỉ có trên Google Play Store cho Android, và cần chắc chắn rằng OpenAI được ghi rõ là nhà phát triển.
