Ứng dụng Zoom trở nên được quan tâm nhiều hơn trong vài tuần qua, không chỉ do số lượng người dùng sử dụng tăng cao đột biến, mà còn vì các vấn đề bảo mật và quyền riêng tư. Mặc dù vậy, hàng triệu người dùng vẫn đang sử dụng nó cho mục đích hội nghị truyền hình. Đây chính là cơ hội cho tội phạm mạng thực hiện các hành vi độc hại.
Bitdefender đã phát hiện một loại tấn công sử dụng các phiên bản giả mạo Zoom được đóng gói lại, đang được phát tán qua bên thứ ba. Các mẫu độc hại quan sát được chỉ nhắm mục tiêu vào người dùng tải ứng dụng qua bên thứ ba và không được đưa lên Google Play.
Với giao diện người dùng được giả mạo hoàn toàn giống ứng dụng gốc, một trong những phần mềm giả mạo được đóng gói lại vẫn giữ tên giống với bản gốc và thông tin chứng thực gần như giống hệt nhau. Phần mềm độc hại này được thiết kế để tải xuống một payload từ cơ sở hạ tầng C&C tại tcp[:]//googleteamsupport[.]ddns.net:4444.
Tên miền này là một dịch vụ DNS động, cho phép người dùng có địa chỉ IP động ánh xạ nó sang tên miền phụ. Do đó, có thể cung cấp dịch vụ mà không bị gián đoạn, ngay cả khi địa chỉ IP động thay đổi, Bitdefender giải thích.
Hãng bảo mật đã liên kết được tên miền phụ này với sweetman2020[.]no-ip[.]biz, được sử dụng làm máy chủ C&C cho Trojan truy cập từ xa trên Android (RAT) có tên SandoRAT và DroidJack.
Một ứng dụng Zoom được chèn mã độc khác cũng đã được phát hiện, nhắm mục tiêu vào người dùng Trung Quốc. Sau khi cài đặt, ứng dụng yêu cầu quyền truy cập điện thoại, vị trí và hình ảnh. Ứng dụng cũng được thiết kế để hiển thị quảng cáo trên thiết bị của nạn nhân, nhưng chỉ trong thời gian ngắn.
Một mẫu độc hại giả mạo Zoom thứ ba nhắm mục tiêu vào người dùng Android tại Mỹ. Được đặt tên là Zoom Cloud Meetings, ứng dụng sẽ tự ẩn khỏi menu sau khi thực thi, sau đó bắt đầu một cảnh báo lặp đi lặp lại, đưa người dùng ngẫu nhiên tới một dịch vụ quảng cáo.
Sau đó, ứng dụng độc hại này sẽ kiểm tra chuỗi mã hardcorded của tài khoản admin và yêu cầu quyền admin nếu chuỗi đó là đúng. Nếu không, nó sẽ cố gắng tải xuống một tệp khác khi khởi chạy. Mẫu độc hại này có thể yêu cầu quyền admin của thiết bị bằng tiếng Anh hoặc tiếng Nga, tùy thuộc vào ngôn ngữ mặc định của thiết bị. Nó cũng có thể tự khởi động khi thiết bị được bật nguồn.
T.U
Theo SecurityWeek
08:00 | 30/03/2020
08:00 | 19/07/2019
09:00 | 15/04/2020
09:00 | 29/04/2020
22:00 | 30/04/2020
09:00 | 09/03/2015
13:00 | 07/04/2020
07:00 | 24/05/2021
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024