Các ứng dụng Android độc hại đã được phát hiện bởi các nhà nghiên cứu tới từ công ty an ninh mạng Cyfirma, họ đã quy kết hoạt động này liên quan đến một nhóm tin tặc tới từ Ấn Độ có tên là “DoNot”, còn được gọi là “APT-C-35” - nhóm này đã nhắm mục tiêu tấn công mạng vào một số tổ chức/doanh nghiệp lớn ở Đông Nam Á ít nhất là từ năm 2018.
Vào năm 2021, một báo cáo của Tổ chức Ân xá Quốc tế đã liên kết nhóm đe dọa này với một công ty an ninh mạng của Ấn Độ và nêu bật một chiến dịch phân phối phần mềm gián điệp cũng dựa trên một ứng dụng trò chuyện giả mạo. Các ứng dụng được sử dụng trong chiến dịch mới nhất của DoNot thực hiện thu thập thông tin cơ bản để chuẩn bị cơ sở cho việc lây nhiễm phần mềm độc hại nguy hiểm hơn, đại diện cho giai đoạn đầu tiên của các cuộc tấn công của tin tặc này.
Các ứng dụng đáng ngờ mà Cyfirma tìm thấy trên Google Play là “nSure Chat” và “iKHfaa VPN”, cả hai đều được tải lên từ “SecurITY Industry”. Ngoài ra, một ứng dụng khác cũng có nguồn gốc từ nhà xuất bản này là “Device Basics Plus”. Cyfirma cho biết số lượt tải xuống tương đối nhỏ đối với các ứng dụng trên cho thấy rằng chúng được sử dụng có chọn lọc, nhắm mục tiêu đến các cá nhân hoặc nhóm cụ thể.
Ứng dụng độc hại trên Google Play
Các ứng dụng yêu cầu các quyền rủi ro trong quá trình cài đặt, chẳng hạn như quyền truy cập vào danh sách liên hệ của người dùng (READ_CONTACTS) và dữ liệu vị trí chính xác (ACCESS_FINE_LOCATION) để lọc thông tin này cho các tin tặc.
Khi cài đặt ứng dụng các ứng dụng độc hại, người dùng được nhắc nhở để cấp các quyền có thể gây rủi ro tiềm ẩn, bao gồm truy cập thông tin danh sách liên hệ và vị trí chính xác của họ. Thông tin sau đó được gửi đến máy chủ chỉ huy và kiểm soát (C2) của tin tặc.
Quyền được yêu cầu bởi ứng dụng VPN độc hại
Lưu ý rằng để truy cập vị trí của mục tiêu, GPS cần phải hoạt động, nếu không, ứng dụng sẽ tìm nạp vị trí thiết bị đã biết cuối cùng. Dữ liệu đã thu thập được lưu trữ cục bộ bằng thư viện ROOM của Android và sau đó được gửi đến máy chủ C2 của kẻ tấn công thông qua phương thức HTTP request.
Môđun truy xuất vị trí thiết bị
Ứng dụng VPN sử dụng máy chủ với địa chỉ tên miền “https[:]ikhfaavpn[.]com”. Trong trường hợp của nSure Chat, địa chỉ máy chủ của nó đã được liên kết trong các hoạt động của Cobalt Strike vào năm 2022. Các nhà phân tích của Cyfirma đã phát hiện ra rằng cơ sở mã của ứng dụng VPN được lấy trực tiếp từ sản phẩm Liberty VPN hợp pháp.
Cyfirma xác định chiến dịch tấn công mạng lần này được thực hiện bởi nhóm tin tặc DoNot là vì dựa trên việc sử dụng cụ thể các chuỗi được mã hóa sử dụng thuật toán AES/CBC/PKCS5PADDING và thuật toán che giấu Proguard, cả hai kỹ thuật thường có liên quan đến tin tặc Ấn Độ.
Chức năng mã hóa trong mã của ứng dụng
Các nhà nghiên cứu tin rằng các tin tặc đã từ bỏ chiến thuật gửi email lừa đảo có chứa tệp đính kèm độc hại để chuyển sang tấn công bằng tin nhắn thông qua ứng dụng nhắn tin WhatsApp và Telegram.
Tin nhắn trực tiếp trên các ứng dụng này hướng nạn nhân đến cửa hàng Google Play, một nền tảng đáng tin cậy tạo ra tính hợp pháp cho cuộc tấn công, vì vậy họ có thể dễ dàng bị lừa để tải xuống các ứng dụng được đề xuất.
Hồng Đạt
(Bleepingcomputer)
16:00 | 03/02/2023
09:00 | 17/07/2023
08:00 | 13/10/2023
16:00 | 04/08/2023
14:00 | 01/11/2023
16:00 | 21/07/2023
09:00 | 25/11/2022
15:00 | 19/02/2024
13:00 | 29/12/2023
09:00 | 13/04/2023
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
Các nhà nghiên cứu tới từ nhóm tình báo mối đe dọa Cisco Talos đã phát hiện một tác nhân đe dọa mới có nguồn gốc từ Việt Nam là CoralRaider đang thực hiện chiến dịch đánh cắp thông tin đăng nhập, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân, bao gồm cả tài khoản doanh nghiệp và quảng cáo.
19:00 | 30/04/2024