Bản cập nhật hệ thống trên Android có thể chứa mã độc

March 29, 2021

Các nhà nghiên cứu bảo mật của Zimperium vừa phát hiện một loại Trojan mới nhằm vào các thiết bị Android có khả năng đánh cắp thông tin, truy quét dữ liệu – từ thu thập các tìm kiếm trên trình duyệt đến ghi âm các cuộc gọi thoại và âm thanh.

123.jpg


Trước đây, các ứng dụng độc hại thường đội lốt dưới tên phần mềm hợp pháp nhưng ứng dụng độc hại này lại tinh vi hơn khi tự giả mạo như một ứng dụng “System Update” để kiểm soát các thiết bị đã bị xâm nhập trái phép.

Các nhà nghiên cứu cho biết: “Nếu màn hình của thiết bị tắt khi nhận được lệnh bằng dịch vụ nhắn tin Firebase, spyware tạo ra thông báo “Searching for update..’ (Đang tìm kiếm bản cập nhật)”. Đây không phải là một thông báo hợp pháp từ hệ điều hành.

Sau khi được cài đặt, spyware này có nhiệm vụ đăng ký thiết bị với máy chủ C&C Firebase (C2) gồm các thông tin như tỷ lệ phần trăm pin, số liệu thống kê về bộ nhớ và kiểm tra xem điện thoại đã được cài đặt WhatsApp hay chưa, tiếp theo là lưu trữ và xuất bất kỳ dữ liệu nào mà máy chủ quan tâm dưới dạng tệp ZIP được mã hóa.

43.jpg


Spyware này có vô số khả năng, tập trung vào khả năng “tàng hình”, đánh cắp danh bạ, dấu trang của trình duyệt và lịch sử tìm kiếm, đánh cắp tin nhắn bằng cách lạm dụng các dịch vụ trợ năng, ghi âm, cuộc gọi thoại và chụp ảnh bằng camera của điện thoại. Nó cũng có thể theo dõi vị trí của nạn nhân, tìm kiếm các tệp có phần mở rộng cụ thể và lấy dữ liệu từ clipboard của thiết bị.

Các nhà nghiên cứu cho biết: “Chức năng và khả năng lọc dữ liệu của spyware này được kích hoạt trong nhiều điều kiện, chẳng hạn như thêm liên hệ, nhận tin nhắn SMS mới hoặc ứng dụng mới được cài đặt bằng cách sử dụng ContentObserver và Broadcast Receiver của Android”.

Hơn nữa, Spyware này không chỉ sắp xếp dữ liệu đã thu thập thành một số thư mục bên trong bộ nhớ riêng của nó mà còn xóa sạch mọi dấu vết của hoạt động độc hại bằng cách xóa các tệp ZIP ngay khi nhận được thông báo “thành công” từ máy chủ C2. Không chỉ vậy, để tránh bị phát hiện và dưới tầm ngắm của radar, spyware cũng giảm mức tiêu thụ băng thông bằng cách tải lên các hình thu nhỏ trái ngược với hình ảnh và video thực tế có trong bộ nhớ ngoài.

Mặc dù ứng dụng “System Update” không được phân phối chính thức thông qua Google Play Store, tuy nhiên các nhà nghiên cứu một lần nữa nhấn mạnh rằng các cửa hàng ứng dụng của bên thứ ba khác có thể chứa phần mềm độc hại nguy hiểm. Thông tin về tác giả phần mềm độc hại, các nạn nhân mục tiêu và động cơ cuối cùng đằng sau chiến dịch vẫn chưa rõ ràng.

sưu tâm