Nội dung
Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch malware trên Android diễn ra kể từ năm 2016 và được báo cáo công khai lần đầu tiên vào tháng 8 năm 2018.
Chiến dịch mang tên “ViceLeaker” gần đây đã được các nhànghiên cứu tại Kaspersky tìm thấy nhắm mục tiêu đến công dân Israel và một sốquốc gia Trung Đông khác với một malware giám sát (surveillance) mạnh mẽ đượcthiết kế để đánh cắp hầu hết tất cả các thông tin có thể truy cập, bao gồm ghiâm cuộc gọi, tin nhắn văn bản, hình ảnh, video và dữ liệu vị trí mà người dùngkhông hề hay biết.
Bên cạnh các chức năng gián điệp truyền thống này, malwarecòn có các khả năng “backdoor” bao gồm upload, download, xóa các tệp, ghi lạiâm thanh xung quanh, kiểm soát camera, thực hiện cuộc gọi hoặc gửi tin nhắn đếncác số cụ thể.
Một báo cáo do Bitdefender công bố năm 2018 cho biết malwaređược sử dụng trong các chiến dịch này được đặt tên là “Triout” – một khung malwaremà các hacker sử dụng để biến các ứng dụng hợp pháp thành phần mềm gián điệp (spyware)bằng cách tiêm thêm payload độc hại vào những ứng dụng này.
Phiên bản sửa đổi của ứng dụng “Conversations”
Trong một báo cáo mới được công bố, Kaspersky Lab tiết lộ rằng những kẻ tấn công đang tích cực sử dụng công cụ Baksmali để tháo rời (disassemble) và sau đó lắp lại (reassemble) mã của một ứng dụng hợp pháp sau khi tiêm mã độc vào ứng dụng này. Kỹ thuật kể trên thường được gọi là kỹ thuật tiêm Smali.
Sau khi phân tích số liệu thống kê cho thấy vectơ lây nhiễm chủyếu là sự lây lan của các ứng dụng Trojan trực tiếp đến nạn nhân thông qua cáctrình nhắn tin của Telegram và WhatsApp.
Bên cạnh đó, các nhà nghiên cứu cũng phát hiện ra rằng mã đượcsử dụng trong malware để phân tích các lệnh từ máy chủ chỉ huy và kiểm soát giốngvới các phiên bản sửa đổi của máy khách XMPP / Jabber mã nguồn mở cho nền tảngAndroid có tên là “Conversations”.
Ngoài ra, các nhà nghiên cứu mặc dù không thấy dấu vết củaviệc tiêm Smali [trong ứng dụng Conversations đã sửa đổi], tuy nhiên đã tìm thấydấu vết của các trình biên dịch (compiler) dx / dexmerge. Điều đó có nghĩa, lầnnày, những kẻ tấn công chỉ nhập mã nguồn gốc vào một IDE Android (ví dụ nhưAndroid Studio) và compile nó với các sửa đổi riêng.
Các phiên bản sửa đổi của ứng dụng Conversations này mặc dù khôngchứa bất kỳ mã độc nào nhưng dường như đang được sử dụng bởi cùng một nhóm kẻ tấncông cho các mục đích vẫn chưa được tiết lộ.
Nghi vấn hacker đứng sau vụ việc là nhóm thực hiện “ViceLeaker”
Thực tế này đã mang đến cho các nhà nghiên cứu giả thuyết rằngđây nhiều khả năng có thể là phiên bản được sử dụng bởi nhóm đứng sau vụ “ViceLeaker”để liên lạc nội bộ hoặc phục vụ cho một mục đích nào đó khác. Tất cả các pháthiện của ứng dụng “backdoor” này đã được định vị ở Iran.
Theo các nhà nghiên cứu, chiến dịch tấn công “ViceLeaker” vẫn đang tiếp diễn và những kẻ tấn công có thể phân phối các phiên bản repackage độc hại của các ứng dụng hợp pháp thông qua các cửa hàng ứng dụng của bên thứ ba, instant messengers hoặc các trang web trực tuyến do kẻ tấn công kiểm soát.
Vì các ứng dụng này được coi là ứng dụng hợp pháp hoặc phổ biến nên người dùng Android thường xuyên được khuyến khích để tải xuống, chẳng hạn các ứng dụng từ nguồn đáng tin cậy như Google Play Store.
Tuy nhiên, như đã đề cập ở trên, không phải ứng dụng nào trên Play Store cũng tuyệt đối an toàn. Vì vậy, người dùng cần hết sức cẩn trọng và chỉ nên sử dụng các ứng dụng được cung cấp bởi các nhà phát triển đã được xác minh (verified developers) để tránh cài đặt phải các ứng dụng độc hại.
THN