Một nhóm malware độc hại từng ảnh hưởng tới 10 triệu thiết bị Android hồi năm ngoái mới đây vừa quay trở lại. Lần này,ểmHummingBadtìmđườngtrởlạitrêlich thi đấu cup c1 malware ẩn mình bên trong các ứng dụng Google Play có lượt tải lên tới 12 triệu lượt, đến từ những người dùng "nhẹ dạ cả tin", không cẩn trọng khi tải ứng dụng về máy. 

HummingWhale, tên gọi của malware mới, là 1 biến thể của HummingBad, cái tên được đặt cho một loạt ứng dụng độc hại tràn lan trên các chợ ứng dụng Android ngoài (không do Google kiểm soát) mà các nhà nghiên cứu phát hiện ra hồi tháng 7 năm ngoái. HummingBad tìm cách qua mặt các lớp bảo mật bằng cách khai thác các lỗ hổng chưa được vá từ đó giúp nó chiếm quyền điều khiển những thiết bị chạy các bản Android cũ. Trước khi bị Google tiêu diệt, malware này đã cài hơn 50.000 ứng dụng lừa đảo mỗi ngày lên thiết bị người dùng, hiển thị 20 triệu quảng cáo độc hại, và tạo ra hơn 300.000 USD doanh thu mỗi tháng. Theo thống kê, có tới 10 triệu người dùng Android trên toàn thế giới đã tải về các ứng dụng chứa malware HummingBad. 

Trong khi đó, biến thể mới HummingWhale của nó lại tìm cách ẩn mình trong khoảng 20 ứng dụng trên Google Play có lượt tải từ 2 triệu tới 12 triệu lượt, theo các nhà nghiên cứu của công ty bảo mật Check Point. Đây cũng là hãng đã theo dõi "đường đi nước bước" gia đình malware này trong gần 1 năm nay. Thay vì root thiết bị, biến thể mới nhất tích hợp các kỹ thuật máy ảo mới cho phép malware thực hiện các hành vi quảng cáo gian lận tinh vi hơn bao giờ hết, theo công bố của Check Point trên blogcủa hãng. 

"Người dùng phải nhận ra rằng, họ không còn có thể đặt niềm tin là chỉ cần cài ứng dụng từ các kho ứng dụng đáng tin cậy thì sẽ được an toàn. Malware này sử dụng nhiều mưu mẹo để ẩn giấu hành vi của nó, nghĩa là người dùng có thể không biết đến sự tồn tại của malware trên thiết bị của họ" - hãng bảo mật cảnh báo. 

Với trường hợp của HummingBad, mục đích của HummingWhale là kiếm tiền bằng cách hiển thị các quảng cáo gian lận và tự động cài ứng dụng lên smartphone/tablet người dùng. Khi người dùng tìm cách tắt quảng cáo, ứng dụng bị lây nhiêm malware mà người dùng đã tải về sẽ chạy trong 1 máy ảo. Từ đây, một ID giả mạo được tạo ra giúp hacker kiếm được tiền từ việc giới thiệu, tăng lượt tải cho ứng dụng đó (nhưng thực chất lượt tải này chỉ là ảo).