Các nhà nghiên cứu bảo mật tại Cisco Talos đã phát hiện ra các biến thể của một Android Trojan mới được phát tán rộng rãi như một ứng dụng chống vi-rút, gọi là “Naver Defender”. Được gọi là KevDroid, Android malware này là một công cụ quản trị từ xa (remote administration tool-RAT), được thiết kế để ăn cắp thông tin nhạy cảm và ghi lại cuộc gọi từ các thiết bị Android bị xâm nhập.

Các nhà nghiên cứu Talos đã công bố chi tiết kỹ thuật về hai biến thể gần đây của KevDroid, dựa trên khám phá ban đầu về Trojan bởi ESTsecurity cách đây hai tuần – công ty về cybersecurity của Hàn Quốc.

Mặc dù các nhà nghiên cứu không cho biết Android malware thuộc về bất kỳ nhóm hacker hoặc nhóm được bảo trợ bởi nhà nước nào, nhưng các phương tiện truyền thông Hàn Quốc (South Korea) đã kết nối KevDroid với nhóm hacker gián điệp không gian mạng do Triều Tiên (North Korea) tài trợ “Nhóm 123”, chủ yếu được biết đến với mục tiêu nhắm đến là Hàn Quốc (South Korea).

Phiên bản mới nhất của phần mềm độc hại KevDroid, phát hiện vào tháng 3 năm nay, có các khả năng sau:

  • Ghi lại cuộc gọi điện thoại và âm thanh
  • Đánh cắp lịch sử web và các tệp tin
  • Truy cập root
  • Đánh cắp nhật ký cuộc gọi, tin nhắn SMS, email
  • Thu thập vị trí thiết bị sau mỗi khoảng thời gian là 10 giây
  • Thu thập một danh sách các ứng dụng đã cài đặt

Malware sử dụng thư viện nguồn mở có sẵn trên GitHub để có được khả năng ghi lại các cuộc gọi đến và đi từ thiết bị Android bị xâm nhập.

Android malware bí mật ghi cuộc gọi và đánh cắp dữ liệu cá nhân
Android Malware được ngụy trang như một ứng dụng chống vi-rút “Naver Defender”

Mặc dù cả hai mẫu malware có cùng khả năng đánh cắp thông tin trên thiết bị đã bị xâm nhập và ghi lại các cuộc điện thoại của nạn nhân, nhưng một trong những biến thể thậm chí còn có thể khai thác lỗ hổng Android (CVE-2015-3636) để truy cập root trên thiết bị bị xâm nhập.

Tất cả dữ liệu bị đánh cắp sau đó được gửi tới kẻ tấn công và máy chủ điều khiển (C2), được lưu trữ trên PubNub global Data Stream Network, và sử dụng yêu cầu HTTP POST.

Talos nói: “Nếu kẻ tấn công đã thành công trong việc đạt được một số thông tin KevDroid có khả năng thu thập, điều đó có thể dẫn đến vô số các rắc rối cho nạn nhân”, gây ra “sự rò rỉ dữ liệu, có thể dẫn đến một số điều, chẳng hạn như bắt cóc một người thân yêu, tống tiền bằng cách sử dụng hình ảnh hoặc thông tin được coi là bí mật, khai thác thông tin đăng nhập liên quan đến ngân hàng/tài chính, truy cập token đa yếu tố (SMS MFA) và truy cập đặc quyền, thông qua email/văn bản “.

“Nhiều người dùng email công ty của họ thông qua các thiết bị di động. Điều này có thể dẫn kết quả là gián điệp mạng.”

Làm thế nào để bảo vệ smartphone của bạn khỏi sự tấn công của Android malware

Người dùng Android nên thường xuyên kiểm tra chéo các ứng dụng được cài đặt trên thiết bị của họ để tìm và xóa nếu có bất kỳ ứng dụng độc hại/không xác định/không cần thiết nào trong danh sách mà bạn không biết hoặc không đồng ý.

Android malware như vậy cũng có thể được sử dụng để nhắm mục tiêu đến các thiết bị của bạn, vì vậy nếu bạn sở hữu thiết bị Android, bạn nên thực hiện các bước đơn giản sau để tránh những trường hợp này xảy ra với bạn:

  • Không bao giờ cài đặt các ứng dụng từ các cửa hàng của bên thứ ba.
  • Đảm bảo rằng bạn đã chọn Google Play Protect.
  • Bật tính năng ‘xác minh ứng dụng’ (‘verify apps’) từ cài đặt (settings).
  • Giữ “nguồn không xác định” (“unknown sources”) bị vô hiệu hóa trong khi không sử dụng nó.
  • Cài đặt phần mềm chống vi rút và phần mềm bảo mật từ một nhà cung cấp an ninh mạng an ninh uy tín, nổi tiếng.
  • Thường xuyên sao lưu điện thoại của bạn.
  • Luôn sử dụng một ứng dụng mã hóa để bảo vệ bất kỳ thông tin nhạy cảm nào trên điện thoại của bạn.
  • Không bao giờ mở tài liệu mà bạn không mong đợi, ngay cả khi nó trông giống như từ một người mà bạn biết.
  • Bảo vệ thiết bị của bạn bằng khóa pin hoặc mật khẩu để không ai có thể truy cập trái phép vào thiết bị của bạn khi không cần giám sát.
  • Luôn cập nhật thiết bị của bạn với các bản vá lỗi bảo mật mới nhất.