[Israel] Phát hiện chiến dịch “biến ứng dụng Android thành Spyware” của Hacker

malware tấn công app trên Android

Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch malware trên Android diễn ra kể từ năm 2016 và được báo cáo công khai lần đầu tiên vào tháng 8 năm 2018.

Chiến dịch mang tên “ViceLeaker” gần đây đã được các nhà nghiên cứu tại Kaspersky tìm thấy nhắm mục tiêu đến công dân Israel và một số quốc gia Trung Đông khác với một malware giám sát (surveillance) mạnh mẽ được thiết kế để đánh cắp hầu hết tất cả các thông tin có thể truy cập, bao gồm ghi âm cuộc gọi, tin nhắn văn bản, hình ảnh, video và dữ liệu vị trí mà người dùng không hề hay biết.

Bên cạnh các chức năng gián điệp truyền thống này, malware còn có các khả năng “backdoor” bao gồm upload, download, xóa các tệp, ghi lại âm thanh xung quanh, kiểm soát camera, thực hiện cuộc gọi hoặc gửi tin nhắn đến các số cụ thể.

Một báo cáo do Bitdefender công bố năm 2018 cho biết malware được sử dụng trong các chiến dịch này được đặt tên là “Triout” – một khung malware mà các hacker sử dụng để biến các ứng dụng hợp pháp thành phần mềm gián điệp (spyware) bằng cách tiêm thêm payload độc hại vào những ứng dụng này.

Phiên bản sửa đổi của ứng dụng “Conversations”

Trong một báo cáo mới được công bố, Kaspersky Lab tiết lộ rằng những kẻ tấn công đang tích cực sử dụng công cụ Baksmali để tháo rời (disassemble) và sau đó lắp lại (reassemble) mã của một ứng dụng hợp pháp sau khi tiêm mã độc vào ứng dụng này. Kỹ thuật kể trên thường được gọi là kỹ thuật tiêm Smali.

Sau khi phân tích số liệu thống kê cho thấy vectơ lây nhiễm chủ yếu là sự lây lan của các ứng dụng Trojan trực tiếp đến nạn nhân thông qua các trình nhắn tin của Telegram và WhatsApp.

android malware app

Bên cạnh đó, các nhà nghiên cứu cũng phát hiện ra rằng mã được sử dụng trong malware để phân tích các lệnh từ máy chủ chỉ huy và kiểm soát giống với các phiên bản sửa đổi của máy khách XMPP / Jabber mã nguồn mở cho nền tảng Android có tên là “Conversations”.

Ngoài ra, các nhà nghiên cứu mặc dù không thấy dấu vết của việc tiêm Smali [trong ứng dụng Conversations đã sửa đổi], tuy nhiên đã tìm thấy dấu vết của các trình biên dịch (compiler) dx / dexmerge. Điều đó có nghĩa, lần này, những kẻ tấn công chỉ nhập mã nguồn gốc vào một IDE Android (ví dụ như Android Studio) và compile nó với các sửa đổi riêng.

Các phiên bản sửa đổi của ứng dụng Conversations này mặc dù không chứa bất kỳ mã độc nào nhưng dường như đang được sử dụng bởi cùng một nhóm kẻ tấn công cho các mục đích vẫn chưa được tiết lộ.

Nghi vấn hacker đứng sau vụ việc là nhóm thực hiện “ViceLeaker”

Thực tế này đã mang đến cho các nhà nghiên cứu giả thuyết rằng đây nhiều khả năng có thể là phiên bản được sử dụng bởi nhóm đứng sau vụ “ViceLeaker” để liên lạc nội bộ hoặc phục vụ cho một mục đích nào đó khác. Tất cả các phát hiện của ứng dụng “backdoor” này đã được định vị ở Iran.

Theo các nhà nghiên cứu, chiến dịch tấn công “ViceLeaker” vẫn đang tiếp diễn và những kẻ tấn công có thể phân phối các phiên bản repackage độc hại của các ứng dụng hợp pháp thông qua các cửa hàng ứng dụng của bên thứ ba, instant messengers hoặc các trang web trực tuyến do kẻ tấn công kiểm soát.

Vì các ứng dụng này được coi là ứng dụng hợp pháp hoặc phổ biến nên người dùng Android thường xuyên được khuyến khích để tải xuống, chẳng hạn các ứng dụng từ nguồn đáng tin cậy như Google Play Store.

Tuy nhiên, như đã đề cập ở trên, không phải ứng dụng nào trên Play Store cũng tuyệt đối an toàn. Vì vậy, người dùng cần hết sức cẩn trọng và chỉ nên sử dụng các ứng dụng được cung cấp bởi các nhà phát triển đã được xác minh (verified developers) để tránh cài đặt phải các ứng dụng độc hại.  

THN