Symantec phát hiện bản update Google Android giả

Symantec đã tìm thấy một ứng dụng có tên là Android Market Security Tool - ứng dụng này là một phiên bản được đóng gói lại của phiên bản chính thức cùng tên dùng để quét malware DroidDream khỏi các thiết bị bị nhiễm. Công cụ an ninh giả này gửi tin nhắn tới một máy chủ ra lệnh và điều khiển (C&C), Mario Ballano của hãng Symantec cho biết.

Hiện Symantec vẫn đang tiến hành phân tích mã được tìm thấy trên một ứng dụng của bên thứ ba có thị trường mục tiêu nhắm vào người dùng Trung quốc. “Điều gây sốc nằm ở chỗ, mã đe dọa này dường như được dựa trên cơ sở một dự án do Google Code làm chủ và được cấp phép theo Apache License,” Ballano cho biết thêm.

Công cụ an ninh giả cho thấy hacker đang hứng thú với Android, hệ điều hành di động phát triển nhanh nhất, theo nhà phân tích Gartner. Đã có hơn 67 triệu thiết bị Android được bán ra trong năm ngoái.

Trong tuần trước, Google đã thực hiện một hành động hiếm thấy để buộc công cụ Android Market Security Tool March 2011 trên các thiết bị tiến hành quét malware DroidDream. Trong khi, các nhà sản xuất và vận hành điện thoại, chứ không phải Google, mới là người đang chịu trách nhiệm phát hành các bản update cho các thiết bị.

Sự chuyển đổi này diễn ra sau khi có hơn 50 ứng dụng trong phiên bản Android Market chính thức của Google bị nhiễm DroidDream – malware đánh cắp các thông tin như: số nhận dạng thiết bị di động quốc tế (IMEI) của máy, và số nhận dạng thuê bao di động quốc tế (IMSI) của thẻ SIM, rồi gửi tới một máy chủ được đặt tại Fremont, California.

DroidDream còn có thể tải mã khác về một máy điện thoại di động cá nhân. Nó sử dụng hai công cụ khai thác có tên là “exploid” và “rageagainsttecage” để lây nhiễm điễn thoại. Google vừa vá những lỗ hổng này đối với các phiên bản Android từ 2.2.2 trở lên, mặc dù vậy, rất nhiều người sử dụng Android lại không có bản mới nhất của phần mềm này.

“Công cụ Android Market Security Tool March 2011 không thực sự sửa được lỗ hổng cho phép DroidDream lây nhiễm những chiếc điện thoại, mà nó chỉ thực hiện việc quét malware một cách đơn thuần,” Timothy Armstrong – nhà phân tích malware với Kaspersky Lab đã viết như vậy trong một bài trên blog. Sự can thiệp của Google cũng nhấn mạnh thêm vấn đề Android được cập nhật như thế nào, Armstrong cho biết thêm.

“Với trạng thái hiện tại của Android, sẽ rất khó và tốn kém để thúc các bản an ninh cập nhật như khi bạn thực hiện với các hệ điều hành máy tính để bàn desktop như Linux hay Windows,” Armstrong viết. “Không giống như iPhone có thể cài đặt các bản vá lỗi thông qua iTunes, hay Windows Mobile thì sử dụng ActiveSync, Android hoạt động hầu như toàn bộ bằng truyền thông không dây. Khi được liên hệ tại Luân đôn, quan chức của Google chưa đưa ra bình luận nào.

Kimkim (Theo itworld)