Một khung (Framework) phần mềm mã độc mới biến các ứng dụng thành phần mềm gián điệp hiệu quả
Các nhà nghiên cứu bảo mật đã phát hiện ra một khung phần mềm độc hại mới, mạnh mẽ trên Android đang được các tội phạm mạng sử dụng để biến các ứng dụng hợp pháp thành spyware với khả năng giám sát mở rộng — như một phần củachiến dịch gián điệp các mục tiêu.
Ứng dụng Android hợp pháp đi kèm với khung (Framework) phần mềm độc hại, được gọi là Triout, có khả năng theo dõi các thiết bị bị lây nhiễm bằng cách ghi âm cuộc gọi điện thoại và theo dõi tin nhắn văn bản, bí mật ăn cắp ảnh và video và thu thập dữ liệu vị trí.
Các ứng dụng phần mềm gián điệp dựa trên tri thức (TriOut) lần đầu tiên được phát hiện bởi các nhà nghiên cứu bảo mật tại Bitdefender vào ngày 15 tháng 5 khi một mẫu phần mềm độc hại được tải lên VirusTotal bởi một ai đó ở Nga, nhưng hầu hết các bản quét đến từ Israel.
Trong một bài báo (PDF)
xuất bản thứ hai, Cristofor Ochinca, nhà nghiên cứu của Bitdefender, cho biết mẫu phần mềm độc hại phân tích được đóng gói bên trong phiên bản độc hại của một ứng dụng Android đã có trên Google Play vào năm 2016 nhưng đã bị loại bỏ.
Phần mềm độc hại cực kỳ lén lút, vì phiên bản đóng gói của ứng dụng Android giữ dáng vẻ và hoạt động giống hệt như ứng dụng gốc ban đầu, nhà nghiên cứu đã phân tích ứng dụng người lớn có tên 'Trò chơi tình dục' để lừa nạn nhân.
Tuy nhiên, trên thực tế, ứng dụng có chứa mã độc hại Triout có khả năng giám sát mạnh mẽ để lấy cắp dữ liệu trên người dùng và gửi lại cho máy chủ và kiểm soát máy chủ bị kiểm soát (C & C).
-
Theo nhà nghiên cứu, Triout có thể thực hiện nhiều hoạt động gián điệp khi nó xâm phạm một hệ thống, bao gồm:
-
Ghi lại mọi cuộc gọi điện thoại, lưu nó dưới dạng một tập tin media, và sau đó gửi nó cùng với id người gọi đến một máy chủ C & C từ xa.
-
Ghi nhật ký mọi tin nhắn SMS đến máy chủ C & C từ xa.
-
Gửi tất cả nhật ký cuộc gọi (có tên, số, ngày, loại và thời lượng) tới máy chủ C & C.
-
Gửi mọi hình ảnh và video cho những kẻ tấn công bất cứ khi nào người dùng chụp ảnh hoặc quay video, bằng camera trước hoặc sau.
-
Khả năng tự ẩn trên thiết bị bị nhiễm.
Nhưng bất chấp khả năng mạnh mẽ của phần mềm độc hại, các nhà nghiên cứu phát hiện ra rằng phần mềm độc hại không sử dụng obfuscation, giúp các nhà nghiên cứu có thể truy cập đầy đủ vào mã nguồn của nó bằng cách đơn giản giải nén tập tin APK - cho thấy phần mềm độc hại là một công việc đang tiến triển.
Ochinca cho biết: “Điều này có thể cho thấy khung (framework) mã độc có thể là một công việc đang được tiến hành, với các tính năng thử nghiệm của nhà phát triển và khả năng tương thích với các thiết bị.
"Máy chủ C & C (lệnh và điều khiển) mà ứng dụng dường như đang gửi dữ liệu đã thu thập dường như đang hoạt động, kể từ lúc viết này và chạy từ tháng 5 năm 2018."
Mặc dù các nhà nghiên cứu không thể tìm thấy phiên bản repackaged của ứng dụng hợp pháp này đã được phân phối và bao nhiêu lần nó được cài đặt thành công, họ tin rằng ứng dụng độc hại đã được gửi đến nạn nhân bởi các cửa hàng ứng dụng của bên thứ ba hoặc bởi các tên miền bị tấn công khác có thể được sử dụng để lưu trữ phần mềm độc hại.
Ochinca giải thích rằng mẫu Triout được phân tích vẫn được ký với một Chứng chỉ gỡ lỗi Google xác thực.
Vào thời điểm đó, không có bằng chứng nào về những kẻ tấn công, hoặc để xác định họ là ai và họ đến từ đâu, nhưng rõ ràng là một điều mà những kẻ tấn công có tay nghề cao và đầy đủ các nguồn lực để phát triển một khuôn khổ phần mềm gián điệp phức tạp.
Cách tốt nhất để bảo vệ bản thân khỏi việc tránh nạn nhân rơi xuống các ứng dụng độc hại đó là luôn tải xuống ứng dụng từ các nguồn đáng tin cậy, như Cửa hàng Google Play hoặc vào các nhà phát triển đã được xác minh.
Ngoài ra, quan trọng nhất, hãy suy nghĩ kỹ trước khi cấp cho bất kỳ quyền ứng dụng nào để đọc tin nhắn của bạn, truy cập nhật ký cuộc gọi, tọa độ GPS và bất kỳ dữ liệu nào khác thu được qua cảm biến của Android.