Ứng dụng trên Google Play khai thác lỗ hổng Android để phát tán phần mềm gián điệp

10:00 | 16/01/2020 | HACKER / MALWARE

Mới đây, Google đã gỡ bỏ ba ứng dụng độc hại trên cửa hàng ứng dụng Google Play. Trong đó, có một ứng dụng khai thác lỗ hổng leo thang đặc quyền trong nhân Android (CVE-2019-2215) để cài đặt ứng dụng độc hại nhằm theo dõi người dùng.

Ứng dụng trên Google Play khai thác lỗ hổng Android để phát tán phần mềm gián điệp

Lỗ hổng CVE-2019-2215 đã được phát hiện vào cuối năm 2019 khi nó bị khai thác trong thực tế. Các nhà nghiên cứu thuộc Nhóm phân tích mối đe dọa của Google và các đơn vị khác tin rằng, việc khai thác bắt đầu từ NSO Group - một công ty có trụ sở tại Israel chuyên về phần mềm giám sát hợp pháp. Phần mềm gián điệp di động Pegasus của công ty đã bị lạm dụng để theo dõi “kẻ thù”.

Vào thời điểm đó, nhóm Android đánh giá lỗ hổng này có mức độ nghiêm trọng cao và chỉ ra rằng, ứng dụng độc hại phải được cài đặt trên thiết bị đích để thực hiện khai thác.

Các ứng dụng độc hại mới được phát hiện

Các nhà nghiên cứu của hãng bảo mật Trend Micro đã phát hiện ra ba ứng dụng độc hại trên Google Play: Camero dưới dạng ứng dụng ảnh; FileCrypt dưới dạng ứng dụng quản lý tệp; callCam dưới dạng ứng dụng gọi camera.

Hai ứng dụng đầu tiên đóng vai trò là phần mềm tải và cài đặt (dropper) ứng dụng thứ ba để thực hiện hành vi gián điệp trực tiếp.

Ứng dụng Camero sẽ tải xuống tệp DEX từ một máy chủ C&C, sau đó tải xuống tệp APK callCam và khai thác lỗ hổng CVE-2019-2215 để giành quyền root của thiết bị, cài đặt ứng dụng callCam và khởi chạy mà không cần bất kỳ sự tương tác hoặc ý thức nào của người dùng.

“Phương thức này chỉ hoạt động trên các thiết bị Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881) và Redmi 6A”, các nhà nghiên cứu lưu ý.

Ứng dụng FileCrypt Manager sẽ yêu cầu người dùng kích hoạt Dịch vụ trợ năng Android. Nếu người dùng kích hoạt, họ sẽ cài đặt và khởi chạy ứng dụng callCam. Ứng dụng callCam ẩn đi biểu tượng sau khi được khởi chạy nên người dùng thường không để ý đến nó.

Ứng dụng này thu thập, mã hóa và gửi lại thông tin cho máy chủ C&C như: vị trí, trạng thái pin, các tệp trên thiết bị, danh sách ứng dụng đã cài đặt, thông tin thiết bị, thông tin cảm biến, thông tin camera, ảnh chụp màn hình, tài khoản, thông tin Wifi, Dữ liệu WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail và Chrome.

Ứng dụng được sử dụng bởi nhóm tin tặc APT do nhà nước tài trợ?

Các chuyên gia cho rằng, các nhóm tin tặc được nhà nước tài trợ có thể lạm dụng Google Play để phát tán các ứng dụng độc hại tới mục tiêu của chúng.

Bởi bộ ba ứng dụng độc hại mới nhất này đã được liên hệ với SideWinder, một nhóm tin tặc đã nhắm vào các mục tiêu quân sự của Pakistan, khi các mục tiêu này kết nối với các máy chủ C&C bị nghi ngờ là nằm trong cơ sở hạ tầng của SideWinder.

Bản vá cho CVE-2019-2215 đã được Google cung cấp gần như ngay sau khi lỗ hổng này lần đầu tiên được phát hiện, nhưng có thể chưa được phổ biến cho mọi người dùng Android.

Người dùng được khuyến nghị là cần cẩn trọng về các ứng dụng mà họ cài đặt trên các thiết bị của mình. Cửa hàng ứng dụng Google Play có thể lưu trữ ít ứng dụng độc hại hơn nhiều so với thị trường ứng dụng của bên thứ ba, tuy nhiên các mối nguy hại trên đó vẫn tồn tại.

T.U

Theo HelpNetSecurity

‹ › ×

Tin liên quan

Hơn 4.000 ứng dụng Android làm lộ dữ liệu người dùng

13:00 | 28/05/2020

Hơn 4.000 ứng dụng Android sử dụng cơ sở dữ liệu Firebase được lưu trữ trên đám mây của Google đã "vô tình" rò rỉ thông tin nhạy cảm về người dùng của họ, bao gồm: địa chỉ email, tên người dùng, mật khẩu, số điện thoại, tên đầy đủ, tin nhắn trò chuyện và dữ liệu vị trí.

Chuyên gia bảo mật khuyến cáo người dùng gỡ bỏ 32 ứng dụng tự động thu phí trên iOS

09:00 | 29/04/2020

Các chuyên gia của hãng nghiên cứu bảo mật Sophos Labs (Anh) vừa công bố danh sách 32 ứng dụng trên nền tảng iOS mà người dùng nên gỡ bỏ khỏi thiết bị của mình ngay lập tức (trong trường hợp họ đã cài đặt các ứng dụng này từ trước đó) hoặc không nên cài đặt lên thiết bị của mình.

9 ứng dụng độc hại trên smartphone cần được gỡ bỏ

13:00 | 12/02/2020

Mới đây, các nhà nghiên cứu bảo mật của Trend Micro đã phát hiện một số ứng dụng trên Google Play tự động tải phần mềm độc hại về thiết bị người dùng.

3 cách kiểm tra để phòng tránh ứng dụng Android độc hại

04:00 | 31/10/2019

Trước xu hướng mã độc tấn công thiết bị di động ngày càng nhiều, Google đã phát triển công cụ mới giúp người dùng dễ dàng kiểm tra và phòng tránh các ứng dụng Android độc hại trước khi cài đặt ứng dụng. Bài viết dưới đây của Kaspersky Proguide sẽ hướng dẫn người dùng 3 cách thức để sử dụng công cụ này nhằm tránh các ứng dụng Android độc hại.

Phân tích mã độc khai thác lỗ hổng Microsoft Office Equation Editor

10:00 | 21/01/2020

Mã độc khai thác lỗ hổng Microsoft Office Equation Editor từng được tin tặc sử dụng trong các cuộc tấn công nhằm phát tán backdoor, chiếm quyền điều khiển từ xa hệ thống. Mới đây, các chuyên gia của Công ty An ninh mạng Viettel đã tiến hành phân tích mẫu mã độc này.

GriftHorse: mã độc nguy hiểm lây nhiễm trên 10 triệu smartphone Android

07:00 | 04/10/2021

Mới đây, các nhà nghiên cứu tại công ty chuyên về bảo mật di động Zimperium (Mỹ) phát hiện mã độc có tên gọi GriftHorse lây nhiễm hơn 10 triệu smartphone Android tại hơn 70 quốc gia trên toàn cầu, trong đó có cả Việt Nam.

5 lưu ý để giảm thiểu rủi ro từ các ứng dụng độc hại trên Android

09:00 | 15/10/2019

Người dùng vẫn chưa thực sự thận trọng đối với các ứng dụng độc hại trên thiết bị di động, do đó đã có nhiều sự việc đáng tiếc xảy ra. Bài viết sẽ cung cấp cho người dùng 5 quy tắc giúp giảm thiểu rủi ro bị nhiễm phải ứng dụng độc hại trên Android.

Facebook lo ngại trước những thay đổi về quyền riêng tư mới trên iOS và Android

09:00 | 25/09/2019

Mới đây, Facebook đã bày tỏ sự lo ngại khi thế hệ iPhone mới với hệ điều hành iOS 13 và các thiết bị chạy hệ điều hành Android 10 vừa ra mắt sẽ có những thay đổi về quyền riêng tư.

Phát hiện và ngăn chặn phần mềm gián điệp trên thiết bị Smartphone

07:00 | 11/01/2023

Hiện nay, trong bối cảnh các cuộc tấn công mạng ngày càng gia tăng cả về số lượng lẫn quy mô nhắm vào đối tượng là người dùng sử dụng Smartphone, các phương thức tấn công cũng vì thế được tin tặc thay đổi và phát triển với mức độ tinh vi hơn, đặc biệt là các phần mềm, ứng dụng độc hại được sử dụng để theo dõi, đánh cắp thông tin dữ liệu. Do đó, mỗi cá nhân nên trang bị những kỹ năng cần thiết giúp nhận biết và bảo vệ các thiết bị smartphone của chính mình. Để làm rõ điều này, bài báo sau đây sẽ cung cấp đến độc giả cách thức phát phát hiện phần mềm gián điệp dựa vào các dấu hiệu và một số tùy chọn để gỡ bỏ, ngăn chặn các cuộc tấn công độc hại.

Một loạt ứng dụng trên Google Play Store chứa phần mềm độc hại Joker

09:00 | 25/05/2022

Các nhà nghiên cứu của Kaspersky phát hiện một loạt ứng dụng có chứa mã độc được phát tán qua Google Play Store với mục đích phân phối phần mềm độc hại khét tiếng Joker trên các thiết bị Android.

"Google Chrome Update" giả mạo có thể khiến lây nhiễm backdoor

10:00 | 06/04/2020

Các nhà nghiên cứu từ phòng thí nghiệm virus Doctor Web (Nga) đưa ra cảnh báo sau khi phát hiện hàng ngàn nạn nhân đã bị lừa tải xuống backdoor nguy hiểm, được ngụy trang dưới dạng bản cập nhật cho Google Chrome.

Tin cùng chuyên mục

AT&T xác nhận dữ liệu của 73 triệu khách hàng bị rò rỉ

13:00 | 05/04/2024

Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.

Giải mã chiến dịch phân phối phần mềm độc hại PikaBot của tin tặc Water Curupia

14:00 | 01/03/2024

Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.

Tin tặc Nga có liên quan đến cuộc tấn công mạng lớn nhất từ trước đến nay vào cơ sở hạ tầng quan trọng của Đan Mạch

13:00 | 26/02/2024

Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.

AnyDesk bị tấn công mạng

11:00 | 07/02/2024

Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.