Phân tích chức năng gián điệp trong phiên bản mod WhatsApp tấn công người dùng Ả Rập

09:00 | 08/12/2023 | HACKER / MALWARE

Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.

Phân tích chức năng gián điệp trong phiên bản mod WhatsApp tấn công người dùng Ả Rập

Cách thức hoạt động của module gián điệp

Nghiên cứu của Kaspersky cho biết, tệp kê khai (manifest) bị trojan hóa chứa các thành phần bất thường (dịch vụ và Broadcast Receiver) không thể tìm thấy trong ứng dụng WhatsApp gốc.

Trước hết, Broadcast Receiver là một thành phần quan trọng trong hệ thống Android cho phép ứng dụng nhận và phản ứng với các thông báo (broadcast) từ hệ thống hoặc các ứng dụng khác. Broadcast là một cách để truyền thông điệp giữa các thành phần trong hệ thống Android, giúp các ứng dụng giao tiếp và tương tác với nhau.

Broadcast Receiver sẽ lắng nghe các sự kiện hệ thống như kết nối mạng thay đổi, nguồn pin yếu hoặc thông báo từ hệ thống như tin nhắn SMS, cuộc gọi đến. Ngoài ra, người dùng cũng có thể đăng ký Broadcast Receivers để nhận thông báo từ các ứng dụng khác, ví dụ như nhận thông báo khi có sự kiện mới trong ứng dụng xã hội, tin tức hoặc đặt lịch hẹn.

Khi người dùng nhận được một thông báo như vậy, nó sẽ gọi trình xử lý sự kiện. Trong mod gián điệp WhatsApp, Broadcast Receiver kích hoạt dịch vụ khởi chạy module gián điệp khi điện thoại được bật hoặc bắt đầu sạc.

Hình 1. Các thành phần ứng dụng đáng ngờ

Dịch vụ này dựa vào hằng số Application_DM trong mã nguồn của phần mềm độc hại để lựa chọn máy chủ ra lệnh và kiểm soát (C&C) mà thiết bị bị nhiễm sẽ liên hệ về sau.

Hình 2. Chọn máy chủ C&C

Khi phần mềm độc hại được khởi chạy, nó sẽ gửi yêu cầu POST chứa thông tin về thiết bị đến máy chủ của kẻ tấn công theo đường dẫn /api/v1/AllRequest. Thông tin bao gồm: IMEI (mã số nhận dạng thiết bị di động quốc tế), số điện thoại, mã quốc gia di động, mã mạng di động,…

Trojan cũng yêu cầu chi tiết cấu hình, chẳng hạn như đường dẫn tải lên nhiều loại dữ liệu khác nhau, khoảng thời gian giữa các yêu cầu tới máy chủ C&C,... Hơn nữa, module này sẽ truyền thông tin về danh bạ và tài khoản của nạn nhân cứ sau 5 phút. Sau khi thông tin thiết bị được tải lên thành công, phần mềm độc hại bắt đầu yêu cầu máy chủ C&C hướng dẫn và ra lệnh, theo các khoảng thời gian được cấu hình trước (theo mặc định là một phút).

Bảng 1. Mô tả chi tiết về các lệnh và đường dẫn mà phần mềm độc hại sử dụng để gửi phản hồi đến máy chủ

Lệnh	Đường dẫn phản hồi mặc định	Sự miêu tả	Cài đặt
GET_FILE	/api/v1/UploadFileWithContinue	Gửi tệp từ bộ nhớ ngoài (bộ nhớ ngoài hệ thống hoặc phương tiện di động, chẳng hạn như thẻ SD) dưới dạng kho lưu trữ ZIP	Đường dẫn trên tệp thiết bị của nạn nhân
UploadFileWithQuery	/api/v1/UploadFileWithContinue	Gửi tệp từ bộ nhớ ngoài phù hợp với bộ lọc được chỉ định dưới dạng kho lưu trữ ZIP	Bộ lọc hàng SQL SELECT dùng để chọn dữ liệu khi gọi ContentResolver (lớp dùng để truy cập tệp trên thiết bị Android)
GetAllFileList	/api/v1/SaveFileNames	Gửi đường dẫn tới tất cả các tệp trong bộ nhớ ngoài
GET_SPEC_FILE_TYPE	/api/v1/SaveFileNames	Gửi tên tệp có phần mở rộng được chỉ định	Bộ lọc hàng SQL SELECT được sử dụng để chọn dữ liệu khi gọi ContentResolver
UpdateAllDeviceData	/api/v1/AllRequest	Gửi thông tin về thiết bị, ứng dụng bị nhiễm (tên gói và phiên bản nhúng gián điệp) cũng như danh bạ và tài khoản của nạn nhân
RecordSound	/api/v1/UploadSmallFile	Ghi lại âm thanh từ micro	Thời lượng ghi tính bằng giây
DeviceOtherData	/api/v1/SaveResponseToFile	Gửi thông tin cấu hình nhúng phần mềm độc hại
ChangeMainDmain		Thay đổi máy chủ C&C	Địa chỉ C&C mới
Get_Compressed_File	/api/v1/UploadFileWithContinue	Gửi tệp từ bộ nhớ ngoài dưới dạng kho lưu trữ ZIP	Danh sách đường dẫn đến tệp cần tải lên

Chính những tin nhắn được gửi đến máy chủ C&C đã thu hút sự chú ý của các nhà nghiên cứu. Tất cả đều bằng tiếng Ả Rập, điều này cho thấy nhà phát triển cũng có thể đến từ khu vực nói tiếng Ả Rập.

Cách phân phối mod gián điệp WhatsApp

Sau khi phát hiện ra các module gián điệp bên trong mod WhatsApp, các nhà nghiên cứu quyết định tìm hiểu xem chúng lây lan như thế nào. Một phân tích số liệu thống kê chỉ ra Telegram là nguồn chính. Các nhà nghiên cứu đã tìm thấy một số kênh Telegram, chủ yếu bằng tiếng Ả Rập và tiếng Azeri. Kaspersky đã cảnh báo Telegram rằng các kênh này đã được sử dụng để phát tán phần mềm độc hại.

Hình 3. Phân phối mod gián điệp WhatsApp

Sau khi tải xuống phiên bản mod mới nhất từ mỗi kênh, Kaspersky phát hiện ra rằng chúng chứa module gián điệp được mô tả ở trên. Nhận thấy các thành phần của phần mềm độc hại không phải là một phần của bản mod gốc, các nhà nghiên cứu đã kiểm tra một số phiên bản gần đây và xác định phiên bản đầu tiên bị nhiễm.

Theo đó, phần mềm gián điệp này đã hoạt động từ giữa tháng 8/2023. Tại thời điểm này, tất cả các phiên bản được công bố trên các kênh kể từ đó đều chứa phần mềm độc hại. Tuy nhiên, sau đó (khoảng ngày 20/10/2023, nếu xét theo dấu thời gian trong APK), ít nhất một phiên bản mới nhất trên ít nhất một trong các kênh đã được thay thế bằng phiên bản sạch (không chứa mã độc).

Hình 4. Dấu thời gian DEX trong ứng dụng bị nhiễm (ở bên trái) và trong phiên bản sạch (ở bên phải)

Bên cạnh các kênh Telegram, các mod bị nhiễm còn được phân phối thông qua nhiều trang web đáng ngờ khác nhau dành riêng cho việc sửa đổi WhatsApp.

Phạm vi tấn công

Các giải pháp bảo mật của Kaspersky đã ngăn chặn hơn 340.000 cuộc tấn công của mod gián điệp WhatsApp trên hơn 100 quốc gia trong khoảng thời gian từ ngày 5-31/10/2023. Tuy nhiên, nếu xem xét bản chất của kênh phân phối, số lượng cài đặt thực tế có thể cao hơn nhiều. Năm quốc gia có số vụ tấn công cao nhất là Azerbaijan, Ả Rập Saudi, Yemen, Thổ Nhĩ Kỳ và Ai Cập.

Hình 5. Danh sách 20 quốc gia hàng đầu bị lây nhiễm mod gián điệp WhatsApp được phát hiện

Kết luận

Các bản mod WhatsApp chủ yếu được phân phối thông qua các cửa hàng ứng dụng Android của bên thứ ba thường thiếu tính năng sàng lọc và không thể gỡ bỏ phần mềm độc hại. Một số tài nguyên, chẳng hạn như cửa hàng ứng dụng của bên thứ ba và kênh Telegram, có mức độ phổ biến đáng kể nhưng điều đó không đảm bảo an toàn. Để tránh mất dữ liệu cá nhân, người dùng chỉ nên sử dụng nền tảng ứng dụng nhắn tin chính thức. Nếu cần các tính năng bổ sung, người dùng chỉ nên sử dụng giải pháp bảo mật đáng tin cậy có thể phát hiện và ngăn chặn phần mềm độc hại nếu bản mod đã chọn được xác định là bị nhiễm.

Hồng Đạt

(Tổng hợp)

‹ › ×

Tin liên quan

Phân tích hoạt động Trojan GoldDigger mới trên Android

14:00 | 09/11/2023

Vào tháng 8/2023, các nhà nghiên cứu tại nhóm thông tin tình báo về mối đe dọa của công ty an ninh mạng Group-IB (Singapore) đã phát hiện một Trojan Android chưa từng được biết đến trước đây nhắm mục tiêu vào các tổ chức tài chính ngân hàng ở Việt Nam. Các nhà nghiên cứu đặt tên Trojan mới này là GoldDigger để chỉ một hoạt động GoldActivity cụ thể trong tệp APK. Trong bài viết này sẽ đưa ra những phân tích chính về hoạt động của GoldDigger dựa theo báo cáo của Group-IB mới đây.

Phân tích chiến dịch đánh cắp thông tin Steal-It

10:00 | 26/10/2023

Các nhà nghiên cứu tại Zscaler ThreatLabz (trụ sở chính tại Mỹ) gần đây đã phát hiện ra một chiến dịch đánh cắp thông tin mới với tên gọi là Steal-It. Trong chiến dịch này, kẻ tấn công đã đánh cắp và lọc các hàm băm NTLMv2 bằng cách sử dụng các phiên bản tùy chỉnh của tập lệnh PowerShell Start-CaptureServer trong framework Nishang.

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).

Giải mã phần mềm gián điệp SpyNote trên Android

13:00 | 31/10/2023

SpyNote là một phần mềm gián điệp trên Android với chức năng ghi nhật ký và đánh cắp nhiều loại thông tin, bao gồm tin nhắn SMS, thao tác bàn phím, cuộc gọi, bản ghi âm, theo dõi vị trí người dùng hay thông tin về các ứng dụng đã cài đặt. Đặc biệt, phần mềm độc hại này rất khó xóa bỏ trên Android. Bài viết tập trung phân tích các tính năng chính của Trojan SpyNote, dựa trên báo cáo từ công ty an ninh mạng F-Secure (Phần Lan) vừa được công bố mới đây.

Tin tặc chiếm đoạt tài khoản người dùng qua hoạt động lừa đảo WhatsApp OTP

10:00 | 14/06/2022

Rahul Sasi, nhà sáng lập CloudSEK (Ấn Độ) đã đưa ra cảnh báo về hoạt động lừa đảo WhatsApp OTP có thể cho phép tin tặc chiếm đoạt tài khoản người dùng thông qua các cuộc gọi.

Tin cùng chuyên mục

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Cơ quan an ninh mạng Hoa Kỳ cảnh báo lỗi Microsoft Streaming bị khai thác trong các cuộc tấn công mạng

13:00 | 19/03/2024

Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).

Dự đoán phần mềm tội phạm và các mối đe dọa tài chính vào năm 2024

09:00 | 28/02/2024

Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.

Phần mềm độc hại NKAbuse: Mối đe dọa mới với công nghệ Blockchain

08:00 | 12/01/2024

Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.