Được đặt tên là PhantomLance, chiến dịch đã hoạt động từ năm 2015 đến nay với nhiều phiên bản phần mềm gián điệp tinh vi - là những phần mềm dùng để thu thập dữ liệu của nạn nhân, cùng các chiến thuật phát tán thông minh như qua hàng chục ứng dụng trên cửa hàng Google Play chính thức.
Vào tháng 7/2019, một nhóm các nhà nghiên cứu bảo mật đã về mẫu phần mềm gián điệp mới được tìm thấy trên Google Play. Báo cáo đã thu hút sự chú ý của Kaspersky bởi các đặc điểm khác lạ của phần mềm này, với mức độ tinh vi và hoạt động rất khác so với những Trojans thường được tải lên các cửa hàng ứng dụng chính thức. Thông thường sau khi tải ứng dụng độc lại lên cửa hàng ứng dụng chính thức, tin tặc sẽ đầu tư nguồn lực đáng kể để quảng bá ứng dụng nhằm tăng số lượng cài đặt và nạn nhân bị tấn công. Nhưng đối với các ứng dụng độc hại mới được phát hiện này lại không như vậy. Dường như các tin tặc đứng sau mã độc này không quan tâm đến việc phát tán hàng loạt. Theo các nhà nghiên cứu, đây có thể là dấu hiệu của hoạt động tấn công có chủ đích APT. Nghiên cứu bổ sung phát hiện một số phiên bản khác nhau với nhiều mẫu phần mềm độc hại có điểm tương đồng về cách mã hóa.
Phần mềm gián điệp trên Google Play được ngụy trang dưới dạng ứng dụng
Hầu hết, chức năng của tất cả các mẫu phần mềm độc hại đều nhằm thu thập thông tin của nạn nhân. Mặc dù mục đích của mã độc này về cơ bản thu thập các thông tin như: định vị địa lý, nhật ký cuộc gọi, truy cập thông tin liên lạc và SMS, mã độc này cũng có thể thu thập danh sách các ứng dụng đã cài đặt, thông tin về thiết bị, như kiểu máy và phiên bản hệ điều hành. Hơn nữa, tin tặc có thể tải xuống và thực thi các tấn công khác nhau. Từ đó, điều chỉnh cho phù hợp với từng thiết bị tùy vào phiên bản Android và các ứng dụng đã cài đặt. Bằng cách này, tin tặc có thể tránh làm quá tải ứng dụng nhưng vẫn có thể thu thập được những thông tin cần thiết.
Nghiên cứu sâu hơn chỉ ra rằng PhantomLance được phát tán trên nhiều nền tảng và thị trường khác nhau, trong đó có Google Play và APKpure. Nhằm tạo sự tin cậy cho ứng dụng, tin tặc tạo hồ sơ giả mạo của đơn vị phát triển bằng Github. Ngoài ra, để tránh cơ chế lọc từ các nền tảng và thị trường, những phiên bản đầu tiên của ứng dụng được tải lên không chứa bất kỳ mã độc nào. Tuy nhiên, mã độc hại đã được chèn vào ứng dụng để tấn công thiết bị bằng các bản cập nhật sau đó.
Theo Kaspersky Security Network, kể từ năm 2016, khoảng 300 nỗ lực lây nhiễm đã được thực hiện trên các thiết bị Android ở những quốc gia như Ấn Độ, Việt Nam, Bangladesh và Indonesia. Việt Nam là một trong những quốc gia có số vụ tấn công hàng đầu. Ngoài ra, một số ứng dụng chứa mã độc được sử dụng trong chiến dịch cũng được đặt tên bằng tiếng Việt.
Một ứng dụng độc hại có phần mô tả bằng tiếng Việt
Bằng cách sử dụng công cụ nhận diện mã độc của Kaspersky, các nhà nghiên cứu có thể xác định rằng PhantomLance giống ít nhất 20% so với một trong các chiến dịch tấn công thiết bị Android có liên quan đến OceanLotus - một nhóm tin tặc đã hoạt động ít nhất là từ năm 2013 và mục tiêu chủ yếu nhắm tới khu vực Đông Nam Á. Hơn nữa, một số trùng hợp đáng chú ý đã được tìm thấy với các hoạt động trước đây của OceanLotus trên Windows và MacOS. Do đó, các nhà nghiên cứu của Kaspersky tin rằng chiến dịch PhantomLance có thể liên quan đến OceanLotus.
Kaspersky đã báo cáo tất cả các mẫu mã độc được phát hiện cho chủ sở hữu của các cửa hàng ứng dụng hợp pháp. Google Play xác nhận đã gỡ xuống các ứng dụng này.
Alexey Firsh, Nhà nghiên cứu bảo mật tại Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky cho biết: “Chiến dịch này là một ví dụ nổi bật về cách các tác nhân đe dọa tiên tiến đang ẩn nấp kỹ hơn và trở nên khó tìm hơn. PhantomLance đã diễn ra hơn 5 năm và nhóm đã nhiều lần vượt qua bộ lọc của các cửa hàng ứng dụng, cũng như sử dụng nhiều kỹ thuật tiên tiến để đạt được mục tiêu. Chúng ta cũng có thể thấy rằng việc sử dụng các nền tảng di động để gây lây nhiễm đang trở nên phổ biến hơn, với nhiều nhóm tin tặc ngày càng thể hiện sự tiến bộ khi tấn công. Những phát triển này nhấn mạnh tầm quan trọng của việc cải thiện dịch vụ hỗ trợ và cung cấp thông tin tình báo mối đe dọa giúp theo dõi các tác nhân đe dọa và tìm ra điểm tương đồng giữa các chiến dịch khác nhau.”
Báo cáo đầy đủ về chiến dịch PhantomLance được đăng tải tại .
Các quốc gia đứng đầu về các vụ tấn công bởi PhantomLance
Để tránh trở thành nạn nhân của các cuộc tấn công nhắm vào các tổ chức hoặc cá nhân, Kaspersky khuyến nghị:
Đối với người dùng: Sử dụng giải pháp bảo mật đáng tin cậy như để bảo vệ toàn diện khỏi nhiều mối đe dọa. Giải pháp kết hợp với giúp hoạt động trực tuyến của bạn không bị theo dõi, ẩn địa chỉ IP và vị trí của bạn, cũng như chuyển dữ liệu của bạn qua một VPN an toàn.
Đối với doanh nghiệp: Đảm bảo giải pháp bảo mật điểm cuối được bổ sung giải pháp bảo vệ các thiết bị di động như . Giải pháp nên được kích hoạt tính năng kiểm soát ứng dụng để đảm bảo rằng chỉ những ứng dụng hợp pháp mới có thể được cài đặt trên thiết bị của doanh nghiệp, cũng như chặn các thiết bị đã root hoặc xóa dữ liệu công ty được lưu trữ trên thiết bị đã root.
Bên cạnh đó, doanh nghiệp cần cung cấp cho Trung tâm điều hành an ninh (SOC) quyền truy cập thông tin về mối đe dọa mới nhất, cũng như luôn cập nhật các công cụ, kỹ thuật và chiến thuật mới được sử dụng bởi tội phạm mạng. Để phát hiện, điều tra và khắc phục kịp thời các sự cố điểm cuối, hãy triển khai các giải pháp EDR, như .
Ngoài việc áp dụng bảo vệ điểm cuối thiết yếu, hãy triển khai giải pháp bảo mật cấp doanh nghiệp như để phát hiện các mối đe dọa nâng cao ngay từ giai đoạn đầu.
Ngọc Mai
10:00 | 10/04/2020
16:00 | 24/04/2020
14:00 | 27/03/2020
08:00 | 06/06/2020
16:00 | 30/10/2024
Trong hai ngày 28 - 29/10, tại tỉnh Vĩnh Phúc, Cục Cơ yếu Đảng - Chính quyền/Ban Cơ yếu Chính phủ đã tổ chức thành công Hội thi Kỹ thuật nghiệp vụ mật mã Hệ Cơ yếu Đảng - Chính quyền lần thứ VI. Tới tham dự và chỉ đạo Hội thi có Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ; đại diện lãnh đạo các Hệ Cơ yếu và các cơ quan, đơn vị thuộc Ban; Lãnh đạo Văn phòng các tỉnh, thành ủy, bộ, ngành có đoàn tham gia, cùng toàn thể các thí sinh tham gia Hội thi.
09:00 | 10/10/2024
Ngày 05/10, Lễ trao Giải thưởng Chuyển đổi số Việt Nam (Vietnam Digital Awards - VDA) năm 2024 đã tôn vinh 45 cơ quan, doanh nghiệp, đơn vị sự nghiệp và các sản phẩm, giải pháp chuyển đổi số xuất sắc.
15:00 | 03/10/2024
Theo cảnh báo của Công an thành phố Hà Nội, gần đây ở Hà Nội đã xuất hiện hình thức lừa đảo trực tuyến thông qua "tặng quà tri ân" dịp 20/10. Các đối tượng lừa đảo đã giả mạo nhân viên các sàn thương mại điện tử hoặc hệ thống siêu thị nổi tiếng để thông báo và gửi quà tặng tri ân miễn phí. Sau đó, các đối tượng sẽ tiếp cận, hướng dẫn khách hàng thực hiện một số nhiệm vụ và chuyển một khoản tiền nhất định.
13:00 | 13/09/2024
Wix.com, nền tảng xây dựng trang web nổi tiếng, đã chặn hoàn toàn người dùng tại Nga từ ngày 12/9/2024. Tất cả tài khoản, bao gồm cả tài khoản miễn phí và trả phí, sẽ bị xóa, khiến các trang web liên quan không thể truy cập được.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Suốt chặng đường 79 năm xây dựng, chiến đấu và trưởng thành (12/9/1945 - 12/9/2024), ngành Cơ yếu Việt Nam luôn xứng đáng là lực lượng đặc biệt tin cậy, cùng toàn Đảng, toàn quân và toàn dân lập nên những chiến công hiển hách trong sự nghiệp đấu tranh giải phóng dân tộc, giành độc lập, tự do, thống nhất đất nước, xây dựng và bảo vệ Tổ quốc.
11:00 | 24/10/2024
Mới đây, Eric Council Jr., 25 tuổi đã bị bắt giữ tại Mỹ do bị cáo buộc tấn công tài khoản mạng xã hội X của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) nhằm thao túng giá Bitcoin hồi đầu năm nay. Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về an ninh mạng và những rủi ro tiềm ẩn từ các cuộc tấn công mạng có chủ đích.
14:00 | 28/10/2024
Google sẽ tích hợp công nghệ trí tuệ nhân tạo (AI) tiên tiến vào Android 15, tạo ra lớp phòng thủ mới giúp người dùng tránh xa nguy cơ từ các ứng dụng độc hại. Tính năng này hứa hẹn nâng cao đáng kể khả năng bảo mật trên hệ điều hành di động phổ biến nhất thế giới.
10:00 | 30/10/2024
