Phát hiện mã độc Android mới giả mạo bản cập nhật hệ thống để theo dõi và ăn cắp thông tin người dùng

Các nhà nghiên cứu an ninh mạng quốc tế mới đây đã tình cờ phát hiện ra một phần mềm độc hại Android mới với khả năng gián điệp chuyên sâu. Sau khi xâm nhập thành công vào hệ thống Android mục tiêu, mã độc sẽ lập tức ẩn mình và âm thầm đánh cắp nhiều loại dữ liệu quan trọng trên hệ thống.

Nguy hiểm hơn, mã độc này có thể tự mình ngụy trang dưới dạng một bản cập nhật hệ thống và được thiết kế để tự động kích hoạt bất cứ khi nào thông tin mới được đưa vào thiết bị.

Tuy nhiên, phần mềm gián điệp này lại chỉ có thể được cài đặt dưới dạng ứng dụng “System Update” có sẵn trên các cửa hàng ứng dụng Android của bên thứ ba bởi nó chưa bao giờ xuất hiện trên Google Play Store. Đặc điểm này khiến khả năng lây lan của mã độc giảm đi đáng kể, vì hầu hết những người dùng có kinh nghiệm sẽ tránh cài đặt nó ngay từ đầu trên hệ thống của họ.

Mã độc tham lam

Trojan truy cập từ xa (RAT) này sở hữu khả năng đánh cắp dữ liệu khá “đáng sợ”. Nó có thể thu thập và trích xuất một loạt thông tin từ thiết bị Android bị lây nhiễm đến máy chủ điều khiển và chỉ huy (C2 server) của nó, trong đó bao gồm nhiều loại dữ liệu cá nhân quan trọng.

Các nhà nghiên cứu Zimperium - những người đầu tiên phát hiện ra mã độc - đã quan sát được toàn bộ quá trình "đánh cắp dữ liệu, tin nhắn, hình ảnh và chiếm quyền điều khiển điện thoại Android” mà trojan này thực hiện.

“Khi đã kiểm soát được thiết bị mục tiêu, tin tặc có thể ra lệnh cho mã độc ghi lại âm thanh và cuộc gọi điện thoại, chụp ảnh, xem lại lịch sử trình duyệt, truy cập tin nhắn WhatsApp và hơn thế nữa”, các chuyên gia Zimperium cho biết.

Khả năng đánh cắp dữ liệu trên phạm vi rộng của mã độc bao gồm:

  • Đánh cắp tin nhắn SMS;
  • Đánh cắp các tệp cơ sở dữ liệu tin nhắn SMS (nếu có sẵn root);
  • Kiểm tra dấu trang và truy vấn tìm kiếm của trình duyệt mặc định;
  • Kiểm tra dấu trang và lịch sử tìm kiếm trên Google Chrome, Mozilla Firefox và Samsung Internet Browser;
  • Tìm kiếm các tệp có phần mở rộng cụ thể (bao gồm .pdf, .doc, .docx và .xls, .xlsx);
  • Kiểm tra dữ liệu clipboard;
  • Kiểm tra nội dung của các thông báo;
  • Ghi âm;
  • Ghi âm cuộc gọi thoại;
  • Chụp ảnh (qua camera trước hoặc sau);
  • Truy cập danh sách các ứng dụng đã cài đặt;
  • Đánh cắp hình ảnh và video;
  • Giám sát vị trí GPS;
  • Đánh cắp tin nhắn SMS;
  • Đánh cắp danh bạ điện thoại;
  • Đánh cắp nhật ký cuộc gọi;
  • Lọc thông tin thiết bị (ví dụ: các ứng dụng đã cài đặt, tên thiết bị, số liệu thống kê về bộ nhớ).

Sau khi lây nhiễm trên thiết bị Android, phần mềm độc hại sẽ gửi một số phần thông tin đến máy chủ C2 Firebase của nó, bao gồm số liệu thống kê về bộ nhớ, loại hình kết nối internet và sự hiện diện của các ứng dụng khác nhau như WhatsApp, Facebook…

Mã độc sẽ thu thập dữ liệu trực tiếp nếu nó có quyền truy cập root hoặc sẽ sử dụng các Dịch vụ trợ năng (Accessibility Services) sau khi lừa nạn nhân bật tính năng này trên thiết bị bị xâm phạm.

Nó cũng sẽ quét bộ nhớ ngoài để tìm bất kỳ dữ liệu nào được lưu trữ hoặc đã lưu trong bộ nhớ cache, sau đó thu thập và phân phối nó đến các máy chủ C2 khi người dùng kết nối với mạng Wi-Fi.

Khả năng ẩn mình

Không giống như các phần mềm độc hại khác được thiết kế để đánh cắp dữ liệu, phần mềm độc hại này sẽ chỉ được kích hoạt bằng cách sử dụng bộ thu contentObserver và Broadcast của Android khi đáp ứng một số điều kiện, chẳng hạn như thêm một liên hệ mới, tin nhắn văn bản mới hoặc ứng dụng mới đang được cài đặt.

Các lệnh nhận được thông qua dịch vụ nhắn tin Firebase sẽ bắt đầu những hành động như ghi âm từ micro và lọc dữ liệu như tin nhắn SMS”, Zimperium cho biết. “Giao tiếp Firebase chỉ được sử dụng để đưa ra các lệnh và máy chủ C&C chuyên dụng được sử dụng để thu thập dữ liệu bị đánh cắp bằng cách sử dụng yêu cầu POST”.

Phần mềm độc hại cũng sẽ hiển thị thông báo cập nhật hệ thống giả "Searching for update.." khi nó nhận được lệnh mới từ các trình điều khiển để ngụy trang hoạt động độc hại của mình.

Cảnh báo cập nhật hệ thống giả mạo

Ngoài ra, phần mềm gián điệp này cũng che giấu sự hiện diện của nó trên các thiết bị Android bị nhiễm bằng cách ẩn biểu tượng khỏi ngăn kéo/menu.

Để tránh bị phát hiện, nó sẽ chỉ đánh cắp thumb của video và hình ảnh mà nó tìm thấy, do đó giảm mức tiêu thụ băng thông của nạn nhân để tránh thu hút sự chú ý của họ vào hoạt động lọc dữ liệu nền.

Không giống như các phần mềm độc hại khác thu thập dữ liệu hàng loạt, mã độc này sẽ đảm bảo rằng nó chỉ lọc dữ liệu gần đây nhất, thu thập dữ liệu vị trí đã tạo và ảnh được chụp trong vài phút trước của nạn nhân.

Hiện tại, mọi hoạt động của phần mềm độc hại mới này vẫn đang được theo dõi sát sao.

Chủ Nhật, 28/03/2021 13:29
31 👨 797
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng