Người dùng Android là những nạn nhân chính của loại malware này
Nhà cung cấp phần mềm diệt virus Eset đã phát hiện ra có ít nhất 3 ứng dụng như vậy trên chợ ứng dụng của Google. Trong số 3 ứng dụng này, một ứng dụng có tên "Pokemon Go Ultimate" gây ra nguy cơ bảo mật lớn nhất, khi mà ngay sau khi được cài đặt, nó sẽ ngay lập tức khoá màn hình thiết bị.
Trong nhiều trường hợp, việc khởi động lại smartphone không giúp thiết bị của bạn tránh khỏi tình trạng bị khoá. Bạn chỉ có thể làm điều này bằng cách tháo pin ra hoặc dùng tiện ích Android Device Manager của Google.
Sau khi màn hình được mở khoá và thiết bị khởi động lại, ứng dụng trên - lúc này đã được đổi tên thành PI Network - sẽ được xoá khỏi menu ứng dụng của thiết bị. Tuy nhiên, ứng dụng vẫn tiếp tục chạy ngầm và lét lút click vào các quảng cáo nhằm kiếm tiền cho nhà phát triển ra nó.
"Đây là lần đầu tiên một ứng dụng giả mạo trên Google Play có khả năng khoá màn hình thiết bị được phát hiện. Một điều quan trọng cần lưu ý rằng, khi màn hình đã bị khoá, hacker chỉ cần một bước nữa để để lại một tin nhắn tống tiền, tạo ra virus tống tiền bằng cách khoá màn hình đầu tiên trên Google Play" - Lukas Stefanko, nhà nghiên cứu về malware của Eset cho biết trên blog.
Eset còn phát hiện ra 2 ứng dụng Pokemon Go giả mạo khác đang "sinh sống" trên Google Play, một có tên "Guide & Cheats for Pokemon Go" và ứng dụng còn lại là "Install Pokemongo". Cả 2 đều có chức năng phân phối quảng cáo lừa đảo, tạo ra các tin nhắn đe doạ được thiết kế để lừa người dùng mua các dịch vụ có chi phí đắt đỏ nhưng không cần thiết. Một trong số các tin nhắn như vậy có nội dung nói rằng thiết bị người dùng đã bị nhiễm malware và yêu cầu người dùng chi tiền để malware này được xoá bỏ.
"Mỗi lần người dùng nhấn nút Back, các tin nhắn doạ dẫm và quảng cáo này sẽ xuất hiện. Cách duy nhất để thoát khỏi chúng là click đúp vào nút Back" - Stefanko cho biết.
Ba ứng dụng nói trên không phải là những ứng dụng Pokemon Go giả mạo đầu tiên tìm cách lừa đảo người dùng. Hồi tuần trước, các nhà nghiên cứu của hãng bảo mật Proofpoint cũng vừa phát hiện ra một phiên bản Pokemon Go giả mạo để làm backdoor trên Android. Ứng dụng này có tất cả các chức năng của một ứng dụng chính thống, tuy nhiên, đằng sau nó được tích hợp 1 công cụ truy cập từ xa có tên DroidJack (còn gọi là SandroRAT). Với công cụ này, hacker có thể nắm toàn quyền điều khiển thiết bị của nạn nhân.
Thông thường, các ứng dụng giả mạo có nguồn gốc từ kho ứng dụng bên thứ ba. Nhận thức được điều này, nhiều người dùng cũng đã tránh, không tải game từ các nguồn này. Tuy nhiên, khi mà phát hiện của Eset lại là từ kho ứng dụng chính thức của Google, thì người dùng sẽ còn phải cẩn thận hơn nữa, như tìm hiểu kỹ nguồn gốc nhà phát triển, tìm hiểu các quyền truy cập dữ liệu của ứng dụng đó...
Với 3 ứng dụng nói trên, chúng hiện đã bị Google tiến hành gỡ bỏ sau khi Eset báo cáo cho hãng tìm kiếm.