Các ứng dụng Android độc hại đã được phát hiện bởi các nhà nghiên cứu tới từ công ty an ninh mạng Cyfirma, họ đã quy kết hoạt động này liên quan đến một nhóm tin tặc tới từ Ấn Độ có tên là “DoNot”, còn được gọi là “APT-C-35” - nhóm này đã nhắm mục tiêu tấn công mạng vào một số tổ chức/doanh nghiệp lớn ở Đông Nam Á ít nhất là từ năm 2018.
Vào năm 2021, một báo cáo của Tổ chức Ân xá Quốc tế đã liên kết nhóm đe dọa này với một công ty an ninh mạng của Ấn Độ và nêu bật một chiến dịch phân phối phần mềm gián điệp cũng dựa trên một ứng dụng trò chuyện giả mạo. Các ứng dụng được sử dụng trong chiến dịch mới nhất của DoNot thực hiện thu thập thông tin cơ bản để chuẩn bị cơ sở cho việc lây nhiễm phần mềm độc hại nguy hiểm hơn, đại diện cho giai đoạn đầu tiên của các cuộc tấn công của tin tặc này.
Các ứng dụng đáng ngờ mà Cyfirma tìm thấy trên Google Play là “nSure Chat” và “iKHfaa VPN”, cả hai đều được tải lên từ “SecurITY Industry”. Ngoài ra, một ứng dụng khác cũng có nguồn gốc từ nhà xuất bản này là “Device Basics Plus”. Cyfirma cho biết số lượt tải xuống tương đối nhỏ đối với các ứng dụng trên cho thấy rằng chúng được sử dụng có chọn lọc, nhắm mục tiêu đến các cá nhân hoặc nhóm cụ thể.
Ứng dụng độc hại trên Google Play
Các ứng dụng yêu cầu các quyền rủi ro trong quá trình cài đặt, chẳng hạn như quyền truy cập vào danh sách liên hệ của người dùng (READ_CONTACTS) và dữ liệu vị trí chính xác (ACCESS_FINE_LOCATION) để lọc thông tin này cho các tin tặc.
Khi cài đặt ứng dụng các ứng dụng độc hại, người dùng được nhắc nhở để cấp các quyền có thể gây rủi ro tiềm ẩn, bao gồm truy cập thông tin danh sách liên hệ và vị trí chính xác của họ. Thông tin sau đó được gửi đến máy chủ chỉ huy và kiểm soát (C2) của tin tặc.
Quyền được yêu cầu bởi ứng dụng VPN độc hại
Lưu ý rằng để truy cập vị trí của mục tiêu, GPS cần phải hoạt động, nếu không, ứng dụng sẽ tìm nạp vị trí thiết bị đã biết cuối cùng. Dữ liệu đã thu thập được lưu trữ cục bộ bằng thư viện ROOM của Android và sau đó được gửi đến máy chủ C2 của kẻ tấn công thông qua phương thức HTTP request.
Môđun truy xuất vị trí thiết bị
Ứng dụng VPN sử dụng máy chủ với địa chỉ tên miền “https[:]ikhfaavpn[.]com”. Trong trường hợp của nSure Chat, địa chỉ máy chủ của nó đã được liên kết trong các hoạt động của Cobalt Strike vào năm 2022. Các nhà phân tích của Cyfirma đã phát hiện ra rằng cơ sở mã của ứng dụng VPN được lấy trực tiếp từ sản phẩm Liberty VPN hợp pháp.
Cyfirma xác định chiến dịch tấn công mạng lần này được thực hiện bởi nhóm tin tặc DoNot là vì dựa trên việc sử dụng cụ thể các chuỗi được mã hóa sử dụng thuật toán AES/CBC/PKCS5PADDING và thuật toán che giấu Proguard, cả hai kỹ thuật thường có liên quan đến tin tặc Ấn Độ.
Chức năng mã hóa trong mã của ứng dụng
Các nhà nghiên cứu tin rằng các tin tặc đã từ bỏ chiến thuật gửi email lừa đảo có chứa tệp đính kèm độc hại để chuyển sang tấn công bằng tin nhắn thông qua ứng dụng nhắn tin WhatsApp và Telegram.
Tin nhắn trực tiếp trên các ứng dụng này hướng nạn nhân đến cửa hàng Google Play, một nền tảng đáng tin cậy tạo ra tính hợp pháp cho cuộc tấn công, vì vậy họ có thể dễ dàng bị lừa để tải xuống các ứng dụng được đề xuất.
Hồng Đạt
(Bleepingcomputer)
16:00 | 03/02/2023
09:00 | 17/07/2023
16:00 | 04/08/2023
14:00 | 01/11/2023
08:00 | 13/10/2023
16:00 | 21/07/2023
13:00 | 29/12/2023
15:00 | 19/02/2024
09:00 | 25/11/2022
08:00 | 22/05/2024
09:00 | 13/04/2023
11:00 | 29/11/2024
Microsoft đã thu giữ 240 tên miền được khách hàng của nền tảng dịch vụ lừa đảo qua mạng ONNX sử dụng để nhắm vào các cá nhân và tổ chức của Mỹ và trên toàn thế giới kể từ năm 2017.
10:00 | 25/11/2024
Apple vừa phát hành bản cập nhật iOS 18.1.1 và macOS 15.1.1 để khắc phục hai lỗ hổng bảo mật nguy hiểm, đồng thời khuyến cáo người dùng iPhone nên cập nhật càng sớm càng tốt.
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
09:00 | 08/10/2024
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
14:00 | 10/12/2024