[Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird
Bạn có chắc rằng ứng dụng WhatsApp mình đang sử dụng trên thiết bị Android là hàng "chính hãng", ngay cả khi ứng dụng này hoạt động hoàn hảo như dự định? Hoặc các ứng dụng JioTV, AppLock, HotStar, Flipkart, Opera Mini và Truecaller cũng vậy? Câu hỏi này được đặt ra ngay sau khi các nhà nghiên cứu an ninh mạng vừa tiết lộ chi tiết về một chiến dịch phần mềm độc hại Android phổ biến. Trong đó, tin tặc đã âm thầm thay thế các ứng dụng hợp pháp bằng các phiên bản ứng dụng chứa mã độc trên hơn 25 triệu thiết bị Android
![[Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird - CyberSec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhSZ1vTM5ERyI9aP4tihU5IEtFDbSahu8dyFxAxy3LIBvZsoiwPEmC3biIF2e30ZUR7gTPB655sAL0q192k1-HJ8wtvRQ8KEWpXq0WkkcYeUwciWv52NnOr7MW0tWnrP0iLmCuR37Q0I6Y/s1600/1100608C-9DC2-4754-928F-B0A373CB3CFB.jpeg "[Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird - CyberSec365.org") |
| [Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird - CyberSec365.org |
Cụ thể, theo các nhà nghiên cứu bảo mật thuộc hãng bảo mật Check Point, những kẻ tấn công đang phát tán một chũng phần mềm độc hại Android mới có khả năng nguỵ trang thành các phần mềm chỉnh sửa ảnh phổ biến, phần mềm giải trí hoặc các ứng dụng game nổi tiếng và được phát tán rộng rãi trên các cửa hàng ứng dụng phổ biến.
Phần mềm độc hại này được đặt tên là Agent Smith, lợi dụng nhiều lỗ hổng bảo mật trên Android như Janus và các lỗ hổng Man-in-the-Disk để tiêm nhiễm mã độc vào các tệp APK của các ứng dụng được nhắm mục tiêu và dẫn dụ nạn nhân cài đặt chúng trên các thiết bị.
Trong báo cáo được các nhà nghiên cứu công bố hôm 10/9/2019, với một danh sách các ứng dụng bị nhắm mục tiêu được lên sẵn, ngay sau khi lây nhiễm vào thiết bị nạn nhân, phần mềm này sẽ tiếp tục rà quét các ứng dụng được cài đặt và lây nhiễm vào các ứng dụng có tên trong danh sách nếu như chúng dã được nạn nhân cài đặt.
"Theo thời gian, chiến dịch này cũng sẽ lây nhiễm cùng một thiết bị, nhiều lần, với các bản vá độc hại mới nhất. Điều này dẫn đến chúng tôi ước tính có tổng cộng hơn 2,8 tỷ ca nhiễm, trên khoảng 25 triệu thiết bị duy nhất, nghĩa là trung bình mỗi nạn nhân sẽ phải chịu khoảng 112 lần hoán đổi các ứng dụng."
![[Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird - CyberSec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEifokms9UYf_wR8tImqHOgvbkCaCWtkU1Qotf-Md_r4ZLhurr82Hduqb8uO3z6C8cV1G0SCM7IzdGUSDq-raiONRsre0DIDX2surmmisPdNcf2dj55DnQAjnIuXn3ZIKHu4pjdc2Bk-Mdml/s1600/BBD860A9-EDE8-434A-91B6-C2CA01EB5CD8.jpeg "[Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird - CyberSec365.org") |
| [Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird - CyberSec365.org |
Theo các nhà nghiên cứu tại hãng bảo mật Check Point, phần mềm độc hại này có nguồn gốc gắn liền với một công ty có trụ sở tại Trung Quốc, và được thiết kế để thu lợi từ việc hiển thị các quảng cáo trên thiết bị của nạn nhân.
Agent Smith Malware hoạt động như thế nào?
Khi cài đặt các ứng dụng boobytrapping, phần mềm độc hại Agent Smith tận dụng chuỗi lây nhiễm ba giai đoạn và chứa các mô-đun khác nhau cho mỗi bước, hoạt động được giải thích bên dưới:
- Mô-đun Loader - Ứng dụng ban đầu phân phối phần mềm độc hại chứa mô-đun có tên là Loader, với mục đích duy nhất là giải mã, giải nén và chạy mô-đun giai đoạn thứ hai có tên Core.
- Mô-đun Core - Sau khi được thực thi, mô-đun Core liên lạc với máy chủ C & C của kẻ tấn công để nhận danh sách các ứng dụng phổ biến cần được nhắm mục tiêu. Nếu nó tìm thấy ứng dụng trong danh sách được cài đặt trên máy nạn nhân, Mô-đun Core sẽ cố gắng lây nhiễm mã độc qua ứng dụng đó thông qua lỗ hổng Janus hoặc đơn giản là biên dịch lại file APK chứa tải trọng độc hại. Hơn nữa, mã độc này cũng có thể tự động cài đặt lại file APK đã sửa đổi và thay thế hoàn toàn phiên bản gốc mà không cần sự đồng ý của người dùng, bao gồm cả việc sử dụng phương thức tấn công Man-in-the-Disk.
- Boot Mô-đun: mô-đun này bao gồm trong tải trọng độc hại được lây nhiễm trong ứng dụng gốc và hoạt động như một mô-đun Loader. Nó trích xuát và thực thi một tải trọng độc hại, được gọi là mô-đun Patch ngay khi nạn nhân khởi chạy ứng dụng dã sử đổi.
- Patch Mô-đun: Patch Mô-đun được thiết kế để ngăn chặn các ứng dụng đã bị lây nhiễm nhận các bản cập nhật từ hãng. Nếu được cài đặt cập nhật, nó sẽ loại bỏ hoàn toàn các thay đổi của phần mềm độc hại.
- AdSDK Mô-đun: đây là một tải trọng thực hiện việc hiển thị quảng cáo cho các nạn nhân để kiếm lợi nhuận và tiếp tục lây nhiễm thiết bị với các chủng phần mềm quảng cáo khác.
![[Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird - CyberSec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikbhSj6sr3Cy9MzkMkdNw75MeWCs5usSXE26KRKBX3BAbkuj-F8bs7Ke_Mo_Aba1vLc1wCdxMdhgFsWuMEOimLUtUszPVBLySRKbbu3D4CVbpNa3fWl62y3ZV3KlGORpVWydDDywNKsRnU/s1600/A3F7D45A-51DE-4292-8465-86F84AAE54A6.jpeg "[Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird - CyberSec365.org") |
| [Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird - CyberSec365.org |
Tuy nhiên, các nhà nghiên cứu cũng cảnh báo rằng các mô-đun phần mềm độc hại này có thể dễ dàng được sử dụng cho các mục đích xâm nhập và đánh cắp thông tin nhạy cảm bao gồm tin nhắn cá nhân, thông tin ngân hàng và nhiều thông tin khác.
Tuy nhiên, các nhà nghiên cứu cũng cảnh báo rằng các mô-đun phần mềm độc hại này có thể dễ dàng được sử dụng cho các mục đích xâm nhập và đánh cắp thông tin nhạy cảm bao gồm tin nhắn cá nhân, thông tin ngân hàng và nhiều thông tin khác.
![[Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird - CyberSec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHD6IlkigdCqoBb4Vg78WSiMu5xNEfGoEmukvvKe6SSiZJeF72LgtIj8COJQfJfT0La4M4jXKtZ3myqhqBkR9Ttap2s1aiyUToAbpc-tops6QgUg-gFeS4obL_ya1cZlf5fn5DVM4Gwdt1/s1600/617E5842-9CD1-442D-9038-49B1484C0558.jpeg "[Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird - CyberSec365.org") |
| [Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird - CyberSec365.org |
Các nhà nghiên cứu phát hiện phần mềm độc hại Agent Smith lần đầu tiên vào năm 2019, chủ yếu Nhắm mục tiêu vào các thiết bị Android ở Ấn Độ (với hơn 15 triệu thiết bị bị nhiễm) và các quốc gia Châu Á lân cận như Pakistan, Bangladesh, Indonesia và Nepal.
![[Cảnh Báo] Phát hiện phần mềm độc hại mới giả mạo các ứng dụng trên 25 triệu thiết bị Andoird](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhSZ1vTM5ERyI9aP4tihU5IEtFDbSahu8dyFxAxy3LIBvZsoiwPEmC3biIF2e30ZUR7gTPB655sAL0q192k1-HJ8wtvRQ8KEWpXq0WkkcYeUwciWv52NnOr7MW0tWnrP0iLmCuR37Q0I6Y/s72-c/1100608C-9DC2-4754-928F-B0A373CB3CFB.jpeg)
Không có nhận xét nào