Lạm dụng công nghệ WebAPK
Thông thường, khi lây nhiễm phần mềm độc hại trên Android, tin tặc sẽ tìm cách để dụ dỗ người dùng cài đặt tệp APK (Android Package Kit) bất kỳ. Tuy nhiên, kỹ thuật mới này thậm chí còn vô cùng đơn giản vì người dùng Android không cần phải tải ứng dụng độc hại.
Theo báo cáo của các nhà nghiên cứu từ Nhóm Ứng cứu sự cố bảo mật máy tính của Cơ quan giám sát tài chính CSIRT KNF (Ba Lan) cho biết, một chiến dịch tấn công mới được bắt đầu với việc nạn nhân nhận được tin nhắn SMS yêu cầu cập nhật ứng dụng ngân hàng di động của mình. Liên kết trong tin nhắn này thay vì chuyển hướng đến cửa hàng ứng dụng Google Play thì nó dẫn đến một trang web sử dụng công nghệ WebAPK để cài đặt ứng dụng độc hại trên thiết bị của nạn nhân.
Ứng dụng mạo danh PKO Bank Polski, một công ty dịch vụ tài chính và ngân hàng đa quốc gia có trụ sở tại Warsaw. Chi tiết về chiến dịch lần đầu tiên được chia sẻ bởi công ty an ninh mạng RIFFSEC của Ba Lan.
WebAPK cho phép người dùng cài đặt các ứng dụng web lũy tiến PWA (một loại ứng dụng web có thể hoạt động như một trang web và ứng dụng dành cho thiết bị di động) vào màn hình chính của họ trên Android mà không cần phải thông qua Google Play.
Khi người dùng thêm PWA vào màn hình chính trên Android, Chrome sẽ tự động tạo APK cho người dùng được gọi là WebAPK. Việc được cài đặt qua APK giúp ứng dụng của người dùng có thể hiển thị trong trình khởi chạy ứng dụng.
"Quá trình đó cần có thời gian nhưng khi APK đã sẵn sàng, trình duyệt sẽ cài đặt ứng dụng đó một cách âm thầm trên thiết bị của người dùng. Vì các nhà cung cấp đáng tin cậy (Play Services hoặc Samsung) đã ký số APK nên điện thoại sẽ cài đặt APK đó mà không tắt tính năng bảo mật", Google cho biết.
Sau khi được cài đặt, ứng dụng ngân hàng giả mạo khuyến khích người dùng nhập thông tin đăng nhập và mã thông báo xác thực hai yếu tố (2FA), cho phép tin tặc có thể xâm phạm tài khoản ngân hàng của nạn nhân.
Không giống như các ứng dụng độc hại khác, những ứng dụng được phân phối theo cách này đặc biệt khó theo dõi đối với các nhà nghiên cứu bảo mật, vì các ứng dụng WebAPK có tên gói và checksum khác nhau trên mỗi thiết bị mà chúng được cài đặt.
Sự phát triển diễn ra khi hãng bảo mật Resecurity tiết lộ rằng tội phạm mạng đang ngày càng tận dụng các công cụ giả mạo chuyên dụng dành cho Android được bán trên darkweb, nhằm mạo danh chủ tài khoản bị xâm phạm và vượt qua các biện pháp kiểm soát bảo mật.
Cách giữ an toàn trước các ứng dụng Android độc hại
Để tránh trở thành nạn nhân từ các ứng dụng độc hại, người dùng cần đặc biệt cẩn trọng khi cài đặt ứng dụng mới hoặc cập nhật ứng dụng hiện có.
Các chuyên gia khuyến cáo người dùng không nên tải bất kỳ ứng dụng lạ nào mà thay vào đó chỉ nên cài đặt ứng dụng từ các cửa hàng ứng dụng chính thức như Google Play, Amazon hay Samsung Galaxy. Tải ứng dụng từ các nguồn bên ngoài có thể thuận tiện nhưng người dùng sẽ không biết liệu tệp APK có độc hại hay không, vì chúng không được trải qua quá trình kiểm tra bảo mật như trên các cửa hàng ứng dụng Android chính thức.
Để bảo vệ khỏi các ứng dụng độc hại được phân phối bằng WebAPK, người dùng nên tránh nhấp vào bất kỳ liên kết nào từ các thông báo đáng ngờ hoặc cửa sổ bật lên yêu cầu người dùng cần cập nhật một ứng dụng cụ thể. Các bản cập nhật giả mạo thường được tin tặc sử dụng để phát tán phần mềm độc hại.
Người dùng nên đảm bảo rằng tính năng Google Play Protect được bật vì ứng dụng chống virus miễn phí này đi kèm với hầu hết các điện thoại Android, nó sẽ quét cả ứng dụng mới cũng như ứng dụng hiện có của người dùng để tìm phần mềm độc hại. Tuy nhiên, để tăng cường khả năng bảo mật thì người dùng cũng nên cân nhắc sử dụng một trong những ứng dụng chống virus Android tốt nhất bên cạnh Google Play Protect.
Quốc Trung
14:00 | 13/07/2023
13:00 | 29/06/2023
10:00 | 07/04/2023
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024