Bằng cách giám sát các trang web đen và diễn đàn ngầm, từ năm 2019 đến 2023, các chuyên gia của Kaspersky đã thu thập thông tin từ nhiều diễn đàn phổ biến nhất về việc mua bán phần mềm và dịch vụ liên quan đến mã độc và đưa ra một số thông tin cụ thể về thị trường này.
- Giá của một ứng dụng độc hại có thể phân phối tới Google Play nằm trong khoảng từ 2.000 đến 20.000 USD.
- Để giữ các hoạt động giao dịch ít bị biết đến, phần lớn những kẻ tấn công trao đổi thông tin qua tin nhắn cá nhân trên các diễn đàn và các nền tảng ứng dụng nhắn tin, ví dụ như Telegram.
- Các loại ứng dụng phổ biến nhất để ẩn phần mềm độc hại bao gồm ứng dụng theo dõi tiền điện tử, ứng dụng quản lý tài chính, máy quét mã QR và thậm chí cả ứng dụng hẹn hò.
- Tin tặc chấp nhận ba cách thức thanh toán chính: thanh toán theo tỷ lệ phần trăm của lợi nhuận, thanh toán theo từng kỳ và thanh toán một lần.
- Tin tặc thường khởi chạy quảng cáo Google để thu hút nhiều người tải xuống các ứng dụng độc hại. Chi phí quảng cáo tuỳ thuộc vào từng quốc gia bị nhắm mục tiêu.
Bước đầu tiên trong quy trình và được cho là nguy hiểm nhất đối với người dùng cuối là chiếm quyền điều khiển tài khoản. Tin tặc có thể trả từ 25 đến 80 USD để mua tài khoản Google Play hoặc đăng ký bằng thông tin đăng nhập đã bị đánh cắp. Điều này cho phép chúng chuyển đổi các ứng dụng đáng tin cậy thành bước đệm cho phần mềm độc hại.
Sau khi có được tài khoản, tin tặc sẽ tải lên một ứng dụng nhưng không vội sử dụng phần mềm gián điệp, điều này được cho là sẽ giúp chúng tránh khỏi sự chú ý của Google và triển khai kế hoạch tích lũy đủ số lượt tải xuống từ người dùng. Không dừng lại ở đó, tin tặc cũng cung cấp các dịch vụ giúp tăng số lượt tải và khởi chạy các chiến dịch quảng cáo của Google để làm cho các ứng dụng lừa đảo trông có vẻ hợp pháp hơn.
Sau đó, tin tặc có thể sử dụng các trình tải (loader) để phân phối mã độc hại tới các thiết bị đầu cuối thông qua các bản cập nhật của ứng dụng. Khi đó, ứng dụng sẽ yêu cầu người dùng cấp phép tải xuống hoặc thông tin khác từ các nguồn bên ngoài Google Play, khi có quyền, chúng sẽ lây nhiễm hoàn toàn vào thiết bị để chiếm toàn quyền kiểm soát hoặc đánh cắp thông tin. Các ứng dụng bị xâm phạm đôi khi sẽ ngừng hoạt động cho đến khi người dùng cấp quyền tải xuống toàn bộ những thành phần độc hại.
Để tăng cơ hội lây nhiễm, tin tặc còn bán các dịch vụ “ẩn tránh” nhằm làm phức tạp hóa các gói tải xuống để tăng cường khả năng chống lại lớp bảo mật của Google. Ngoài ra, chúng cũng cung cấp các tùy chọn bằng tệp APK, nhưng tỷ lệ thành công sẽ thấp hơn so với trình tải.
Giống như các thị trường trực tuyến khác, web đen cũng có nhiều dịch vụ dành cho những khách hàng có nhu cầu và ngân sách khác nhau. Sản phẩm chính mà tin tặc mua là tài khoản Google Play của nhà phát triển có thể đã được đăng ký bằng cách sử dụng danh tính bị đánh cắp, mã nguồn của các công cụ khác nhau giúp người mua tải ứng dụng của họ lên Google Play. Ngoài ra, web đen còn có các dịch vụ như máy chủ riêng ảo (VPS) mà tin tặc sử dụng để kiểm soát điện thoại bị nhiễm, chuyển hướng lưu lượng truy cập của người dùng hoặc lây nhiễm mã độc,...
Hình 1. Danh sách một số phần mềm độc hại được rao bán trên web đen
Trong hầu hết các trường hợp, tin tặc thường mua trình tải Google Play với mục đích đưa phần mềm độc hại vào ứng dụng. Sau đó, ứng dụng này được cập nhật trên Google Play và nạn nhân có thể tải ứng dụng chứa phần mềm độc hại xuống điện thoại của họ. Tùy thuộc vào những gì tin tặc cài đặt trong ứng dụng, người dùng có thể nhận thông báo yêu cầu bật cài đặt ứng dụng không xác định và cài đặt từ nguồn bên ngoài. Sau khi cài đặt ứng dụng, người dùng được yêu cầu cấp quyền truy cập dữ liệu chính từ điện thoại, chẳng hạn như máy ảnh, micro,… Nạn nhân có thể không sử dụng được các tính năng hợp pháp của ứng dụng cho đến khi đồng ý cấp các quyền, những quyền này sẽ cho phép tin tặc thực hiện các hoạt động độc hại.
Hình 2. Danh sách một số phần mềm độc hại được rao bán trên Google Play
Các dịch vụ ràng buộc cũng là mục tiêu thường được giao dịch trên web đen. Về bản chất, chúng thực hiện ẩn tệp APK độc hại hoặc không mong muốn trong một ứng dụng hợp pháp, được phân phối thông qua các tin nhắn lừa đảo, các trang web có trò chơi hoặc phần mềm bị bẻ khóa. Vì các dịch vụ liên kết có tỷ lệ cài đặt thành công thấp hơn so với các trình tải, nên hai dịch vụ này khác nhau rất nhiều về giá: một trình tải có thể có giá khoảng 5.000 USD, trong khi một dịch vụ liên kết thường có giá khoảng 50 đến 100 USD cho mỗi tệp.
Mục đích của dịch vụ này là vượt qua các hệ thống bảo mật bằng cách làm phức tạp mã độc hại. Trong trường hợp này, người mua phải trả phí cho việc xử lý một ứng dụng hoặc cho việc đăng ký thành viên. Nhà cung cấp dịch vụ thậm chí có thể giảm giá cho việc mua các gói. Ví dụ: chi phí khi mua dịch vụ xử lý một tệp là khoảng 30 USD, nhưng nếu người mua bỏ ra 440 USD sẽ được cung cấp dịch vụ mã hóa 50 tệp.
Hình 3. Người bán chỉ định giá thực hiện riêng cho từng quốc gia
Để tăng số lượt tải xuống ứng dụng độc hại, nhiều tin tặc đề nghị mua lượt cài đặt bằng cách tăng lưu lượng truy cập ứng dụng thông qua quảng cáo của Google. Không giống như các dịch vụ trên web đen khác, dịch vụ này hoàn toàn hợp pháp và được sử dụng để thu hút càng nhiều lượt tải xuống ứng dụng càng tốt, bất kể đó là ứng dụng vẫn hợp pháp hay ứng dụng đã bị nhiễm mã độc. Chi phí thực hiện phụ thuộc vào quốc gia mục tiêu.
Google Play là kho ứng dụng lớn và phổ biến, giúp người dùng có thể tìm thấy các ứng dụng giải trí, tiện ích phục vụ đa dạng nhu cầu của nhiều lứa tuổi. Dù được kiểm duyệt chặt chẽ nhưng đôi khi, trên Google Play vẫn tồn tại những ứng dụng chứa mã độc và ngày càng xuất hiện nhiều hơn. Các ứng dụng độc hại được tải lên Google Play thông qua các dịch vụ hỗ trợ trên web đen là mối nguy hại vô cùng lớn, đe doạ đến an ninh, an toàn thông tin. Người dùng cần phải cẩn trọng và có những kỹ năng cần thiết để phòng tránh và bảo vệ thiết bị khi tải cũng như sử dụng các ứng dụng này. Biện pháp đơn giản nhất cho người dùng để tránh bị tấn công là không bao giờ cho phép Google Play tải xuống bất kỳ thứ gì từ bên ngoài. Đồng thời, cẩn thận với những quyền cấp cho ứng dụng.
|
TÀI LIỆU THAM KHẢO [1]. https://securelist.com/google-play-threats-on-the-dark-web/109452/. [2]. https://www.techspot.com/news/98278-dark-web-cybercriminals-selling-services-hack-google-play.html. |
Thanh Bình
10:00 | 10/04/2024
08:00 | 11/06/2020
16:00 | 21/07/2023
13:00 | 29/06/2023
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024
