Các ứng dụng Android độc hại đã được phát hiện bởi các nhà nghiên cứu tới từ công ty an ninh mạng Cyfirma, họ đã quy kết hoạt động này liên quan đến một nhóm tin tặc tới từ Ấn Độ có tên là “DoNot”, còn được gọi là “APT-C-35” - nhóm này đã nhắm mục tiêu tấn công mạng vào một số tổ chức/doanh nghiệp lớn ở Đông Nam Á ít nhất là từ năm 2018.
Vào năm 2021, một báo cáo của Tổ chức Ân xá Quốc tế đã liên kết nhóm đe dọa này với một công ty an ninh mạng của Ấn Độ và nêu bật một chiến dịch phân phối phần mềm gián điệp cũng dựa trên một ứng dụng trò chuyện giả mạo. Các ứng dụng được sử dụng trong chiến dịch mới nhất của DoNot thực hiện thu thập thông tin cơ bản để chuẩn bị cơ sở cho việc lây nhiễm phần mềm độc hại nguy hiểm hơn, đại diện cho giai đoạn đầu tiên của các cuộc tấn công của tin tặc này.
Các ứng dụng đáng ngờ mà Cyfirma tìm thấy trên Google Play là “nSure Chat” và “iKHfaa VPN”, cả hai đều được tải lên từ “SecurITY Industry”. Ngoài ra, một ứng dụng khác cũng có nguồn gốc từ nhà xuất bản này là “Device Basics Plus”. Cyfirma cho biết số lượt tải xuống tương đối nhỏ đối với các ứng dụng trên cho thấy rằng chúng được sử dụng có chọn lọc, nhắm mục tiêu đến các cá nhân hoặc nhóm cụ thể.
Ứng dụng độc hại trên Google Play
Các ứng dụng yêu cầu các quyền rủi ro trong quá trình cài đặt, chẳng hạn như quyền truy cập vào danh sách liên hệ của người dùng (READ_CONTACTS) và dữ liệu vị trí chính xác (ACCESS_FINE_LOCATION) để lọc thông tin này cho các tin tặc.
Khi cài đặt ứng dụng các ứng dụng độc hại, người dùng được nhắc nhở để cấp các quyền có thể gây rủi ro tiềm ẩn, bao gồm truy cập thông tin danh sách liên hệ và vị trí chính xác của họ. Thông tin sau đó được gửi đến máy chủ chỉ huy và kiểm soát (C2) của tin tặc.
Quyền được yêu cầu bởi ứng dụng VPN độc hại
Lưu ý rằng để truy cập vị trí của mục tiêu, GPS cần phải hoạt động, nếu không, ứng dụng sẽ tìm nạp vị trí thiết bị đã biết cuối cùng. Dữ liệu đã thu thập được lưu trữ cục bộ bằng thư viện ROOM của Android và sau đó được gửi đến máy chủ C2 của kẻ tấn công thông qua phương thức HTTP request.
Môđun truy xuất vị trí thiết bị
Ứng dụng VPN sử dụng máy chủ với địa chỉ tên miền “https[:]ikhfaavpn[.]com”. Trong trường hợp của nSure Chat, địa chỉ máy chủ của nó đã được liên kết trong các hoạt động của Cobalt Strike vào năm 2022. Các nhà phân tích của Cyfirma đã phát hiện ra rằng cơ sở mã của ứng dụng VPN được lấy trực tiếp từ sản phẩm Liberty VPN hợp pháp.
Cyfirma xác định chiến dịch tấn công mạng lần này được thực hiện bởi nhóm tin tặc DoNot là vì dựa trên việc sử dụng cụ thể các chuỗi được mã hóa sử dụng thuật toán AES/CBC/PKCS5PADDING và thuật toán che giấu Proguard, cả hai kỹ thuật thường có liên quan đến tin tặc Ấn Độ.
Chức năng mã hóa trong mã của ứng dụng
Các nhà nghiên cứu tin rằng các tin tặc đã từ bỏ chiến thuật gửi email lừa đảo có chứa tệp đính kèm độc hại để chuyển sang tấn công bằng tin nhắn thông qua ứng dụng nhắn tin WhatsApp và Telegram.
Tin nhắn trực tiếp trên các ứng dụng này hướng nạn nhân đến cửa hàng Google Play, một nền tảng đáng tin cậy tạo ra tính hợp pháp cho cuộc tấn công, vì vậy họ có thể dễ dàng bị lừa để tải xuống các ứng dụng được đề xuất.
Hồng Đạt
(Bleepingcomputer)
16:00 | 03/02/2023
09:00 | 17/07/2023
08:00 | 13/10/2023
16:00 | 04/08/2023
14:00 | 01/11/2023
16:00 | 21/07/2023
09:00 | 25/11/2022
15:00 | 19/02/2024
13:00 | 29/12/2023
09:00 | 13/04/2023
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024