Các nhà nghiên cứu đã phát hiện ra một loại trojan đánh cắp thông tin mới, nhắm mục tiêu vào các thiết bị Android có khả năng truy quét dữ liệu - từ thu thập các tìm kiếm trên trình duyệt đến ghi âm các cuộc gọi điện thoại và âm thanh.
Mặc dù phần mềm độc hại trên Android trước đây đã đội lốt các ứng dụng sao chép, có tên tương tự như các phần mềm hợp pháp, ứng dụng độc hại mới tinh vi này tự giả mạo như một ứng dụng Cập nhật Hệ thống để kiểm soát các thiết bị bị xâm phạm.
"Phần mềm gián điệp tạo ra thông báo nếu màn hình của thiết bị tắt khi nó nhận được lệnh bằng dịch vụ nhắn tin Firebase", các nhà nghiên cứu của Zimperium cho biết trong một phân tích hôm thứ Sáu. "'Đang tìm kiếm bản cập nhật ..' không phải là một thông báo hợp pháp từ hệ điều hành, mà là phần mềm gián điệp."
Sau khi được cài đặt, chiến dịch phần mềm gián điệp tinh vi đặt ra nhiệm vụ của nó bằng cách đăng ký thiết bị với máy chủ điều khiển và kiểm soát Firebase (C2) với thông tin như tỷ lệ phần trăm pin, số liệu thống kê về bộ nhớ và liệu điện thoại đã được cài đặt WhatsApp hay chưa, tiếp theo là tích lũy và xuất bất kỳ dữ liệu nào mà máy chủ quan tâm dưới dạng tệp ZIP được mã hóa.
Phần mềm gián điệp này có vô số khả năng, tập trung vào khả năng tàng hình, bao gồm các chiến thuật đánh cắp danh bạ, dấu trang của trình duyệt và lịch sử tìm kiếm, đánh cắp tin nhắn bằng cách lạm dụng các dịch vụ trợ năng , ghi âm, cuộc gọi điện thoại và chụp ảnh bằng camera của điện thoại. Nó cũng có thể theo dõi vị trí của nạn nhân, tìm kiếm các tệp có phần mở rộng cụ thể và lấy dữ liệu từ khay nhớ tạm của thiết bị.
Các nhà nghiên cứu cho biết: "Chức năng và khả năng lọc dữ liệu của phần mềm gián điệp được kích hoạt trong nhiều điều kiện, chẳng hạn như thêm liên hệ mới, nhận tin nhắn SMS mới hoặc ứng dụng mới được cài đặt bằng cách sử dụng bộ thu contentObserver và Broadcast của Android".
Mặc dù phần mềm độc hại trên Android trước đây đã đội lốt các ứng dụng sao chép, có tên tương tự như các phần mềm hợp pháp, ứng dụng độc hại mới tinh vi này tự giả mạo như một ứng dụng Cập nhật Hệ thống để kiểm soát các thiết bị bị xâm phạm.
"Phần mềm gián điệp tạo ra thông báo nếu màn hình của thiết bị tắt khi nó nhận được lệnh bằng dịch vụ nhắn tin Firebase", các nhà nghiên cứu của Zimperium cho biết trong một phân tích hôm thứ Sáu. "'Đang tìm kiếm bản cập nhật ..' không phải là một thông báo hợp pháp từ hệ điều hành, mà là phần mềm gián điệp."
Sau khi được cài đặt, chiến dịch phần mềm gián điệp tinh vi đặt ra nhiệm vụ của nó bằng cách đăng ký thiết bị với máy chủ điều khiển và kiểm soát Firebase (C2) với thông tin như tỷ lệ phần trăm pin, số liệu thống kê về bộ nhớ và liệu điện thoại đã được cài đặt WhatsApp hay chưa, tiếp theo là tích lũy và xuất bất kỳ dữ liệu nào mà máy chủ quan tâm dưới dạng tệp ZIP được mã hóa.
Phần mềm gián điệp này có vô số khả năng, tập trung vào khả năng tàng hình, bao gồm các chiến thuật đánh cắp danh bạ, dấu trang của trình duyệt và lịch sử tìm kiếm, đánh cắp tin nhắn bằng cách lạm dụng các dịch vụ trợ năng , ghi âm, cuộc gọi điện thoại và chụp ảnh bằng camera của điện thoại. Nó cũng có thể theo dõi vị trí của nạn nhân, tìm kiếm các tệp có phần mở rộng cụ thể và lấy dữ liệu từ khay nhớ tạm của thiết bị.
Các nhà nghiên cứu cho biết: "Chức năng và khả năng lọc dữ liệu của phần mềm gián điệp được kích hoạt trong nhiều điều kiện, chẳng hạn như thêm liên hệ mới, nhận tin nhắn SMS mới hoặc ứng dụng mới được cài đặt bằng cách sử dụng bộ thu contentObserver và Broadcast của Android".
Hơn nữa, phần mềm độc hại không chỉ sắp xếp dữ liệu đã thu thập thành một số thư mục bên trong bộ nhớ riêng của nó, nó còn xóa sạch mọi dấu vết của hoạt động độc hại bằng cách xóa các tệp ZIP ngay khi nhận được thông báo "thành công" từ bài đăng kiểm tra máy chủ C2. Trong một nỗ lực hơn nữa để tránh bị phát hiện và bay dưới radar, phần mềm gián điệp cũng giảm mức tiêu thụ băng thông bằng cách tải lên các hình thu nhỏ trái ngược với hình ảnh và video thực tế có trong bộ nhớ ngoài.
Mặc dù ứng dụng "Cập nhật hệ thống" chưa bao giờ được phân phối thông qua Cửa hàng Google Play chính thức, nghiên cứu một lần nữa nhấn mạnh cách các cửa hàng ứng dụng của bên thứ ba có thể chứa phần mềm độc hại nguy hiểm. Danh tính của các tác giả phần mềm độc hại, các nạn nhân được nhắm mục tiêu và động cơ cuối cùng đằng sau chiến dịch vẫn chưa rõ ràng.
Mặc dù ứng dụng "Cập nhật hệ thống" chưa bao giờ được phân phối thông qua Cửa hàng Google Play chính thức, nghiên cứu một lần nữa nhấn mạnh cách các cửa hàng ứng dụng của bên thứ ba có thể chứa phần mềm độc hại nguy hiểm. Danh tính của các tác giả phần mềm độc hại, các nạn nhân được nhắm mục tiêu và động cơ cuối cùng đằng sau chiến dịch vẫn chưa rõ ràng.
Đăng nhận xét
Đăng nhận xét