9 ứng dụng Android bị phát hiện phát tán mã độc MRAT

08:00 | 18/03/2021 | HACKER / MALWARE

Các nhà nghiên cứu vừa phát hiện dropper độc hại Clast82 được nhúng trong 9 ứng dụng Android trên Google Play. Clast82 có khả năng xâm nhập vào tài khoản tài chính của nạn nhân, chiếm quyền kiểm soát thiết bị.

9 ứng dụng Android bị phát hiện phát tán mã độc MRAT

Các nhà nghiên cứu cho biết: "Clast82 sử dụng một loạt kỹ thuật để tránh Google Play Protect phát hiện, vượt qua việc đánh giá trước khi thả hai payload độc hại là AlienBot Banker và MRAT".

Các ứng dụng này đã được sử dụng cho chiến dịch gồm Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, tooltipnatorlibrary và QRecorder. Được biết, các ứng dụng giả mạo đã bị xóa khỏi Google Play Store ngày 09/02/2021.

Mã độc đã sử dụng nhiều phương pháp khác nhau để vượt qua cơ chế kiểm tra của Google, bao gồm mã hóa để ẩn các string tránh bị các công cụ phân tích phát hiện, tạo phiên bản giả mạo của ứng dụng hợp pháp hoặc tạo ra các đánh giá giả để thu hút người dùng tải xuống. Điều đó cho thấy tin tặc liên tục phát triển các kỹ thuật mới nhằm vượt qua nỗ lực của Google trong việc bảo mật nền tảng của hãng.

Clast82 sử dụng Firebase làm nền tảng cho giao tiếp C2 và sử dụng GitHub để tải xuống các payload độc hại. Ngoài ra, nó còn tận dụng các ứng dụng Android nguồn mở hợp pháp để chèn Dropper.

Các nhà nghiên cứu phân tích: "Đối với mỗi ứng dụng tin tặc tạo tài khoản nhà phát triển mới trên Google Play, cùng một kho lưu trữ trên GitHub, từ đó có thể phân phối các payload khác nhau cho các thiết bị đã bị nhiễm".

Trong trường hợp chức năng cài đặt app từ nguồn không rõ ràng bị tắt, Clast82 liên tục thúc giục người dùng năm giây một lần bằng lời nhắc Dịch vụ Google Play giả để người dùng kích hoạt chức năng, cuối cùng sử dụng chức năng đó để cài đặt AlienBot, một mã độc ngân hàng Android có khả năng đánh cắp thông tin xác thực và mã xác thực hai yếu tố từ các ứng dụng tài chính.

Tháng 02/2021, một ứng dụng máy quét mã vạch phổ biến với hơn 10 triệu lượt cài đặt đã trở thành công cụ lừa đảo sau khi cập nhật thay đổi nhà phát triển.

Trong một diễn biến tương tự, một tiện ích mở rộng của Chrome có tên The Great Suspender đã bị vô hiệu hóa sau khi có báo cáo cho rằng tiện ích bổ sung này đã lén lút thêm các tính năng có thể bị khai thác để thực thi mã tùy ý từ một máy chủ từ xa.

Hacker đứng sau Clast82 đã có thể vượt qua lớp bảo vệ của Google Play bằng cách sử dụng một phương pháp sáng tạo nhưng rất đáng quan tâm. Chỉ với một thao tác đơn giản đối với các tài nguyên sẵn có của bên thứ 3 như tài khoản GitHub hoặc tài khoản FireBase, hacker đã có thể tận dụng các tài nguyên sẵn có để vượt qua các cơ chế bảo vệ của Google Play. Qua đó, các nạn nhân nghĩ rằng mình đang tải xuống một ứng dụng tiện ích vô hại từ kho chính thống, nhưng thực chất lại là một trojan nguy hiểm.

Mai Hương

‹ › ×

Tin liên quan

Cẩn trọng với các ứng dụng dùng thử miễn phí

08:00 | 12/04/2021

Các ứng dụng dùng thử miễn phí trên cửa hàng lưu trữ trực tuyến từ lâu đã trở thành sự lựa chọn yêu thích của nhiều người dùng. Tuy nhiên, rủi ro mất an toàn thông tin, mất tiền lại đi kèm với những miếng bánh tưởng chừng như béo bở này.

Trên 40 ứng dụng di động với hơn 100 triệu lượt cài đặt bị phát hiện rò rỉ khóa AWS

08:00 | 14/06/2021

Hầu hết người dùng ứng dụng di động thường tin tưởng các ứng dụng họ tải xuống từ các cửa hàng ứng dụng là an toàn và bảo mật. Thực tế đã cho thấy không phải lúc nào cũng vậy.

Một phần mềm độc hại trên Android có thể cung cấp cho tin tặc toàn quyền kiểm soát điện thoại thông minh

13:00 | 03/02/2021

Một sự kết hợp của 2 loại phần mềm độc hại lâu đời đã tạo ra một phần mềm mới có khả năng cung cấp cho tin tặc quyền truy cập của người dùng trên điện thoại sử dụng Android. Chỉ với giá 29,99 USD, tin tặc có thể sở hữu để đánh cắp dữ liệu cá nhân nhạy cảm.

Năm 2020: Tăng 900% số lượng các cuộc tấn công bằng mã độc Fileless

13:00 | 20/05/2021

Theo Watchguard Technologies, trong năm 2020, số lần phát hiện phần mềm độc hại Fileless đã tăng gần 900% so với năm 2019 khi các tác nhân đe dọa cố gắng trang bị thêm các kỹ thuật tiên tiến để lẩn tránh các biện pháp kiểm soát bảo mật truyền thống.

9 ứng dụng đánh cắp mật khẩu Facebook bị xoá khỏi Google

09:00 | 16/07/2021

Với tổng số 5,8 triệu lượt tải, 9 ứng dụng Android đã bị Google xóa sổ do bị phát hiện đánh cắp thông tin đăng nhập Facebook của người dùng.

Phát hiện biến thể mã độc Buer viết bằng ngôn ngữ Rust

07:00 | 24/05/2021

Các nhà nghiên cứu vừa tiết lộ một chiến dịch spam bằng mã độc phát tán một biến thể mới của Buer được viết bằng ngôn ngữ lập trình Rust.

Google vá lỗ hổng bảo mật wifi và âm thanh nghiêm trọng trong thiết bị cầm tay Android

14:00 | 22/12/2020

Mới đây, Google đã phát hành bản cập nhật hệ điều hành Android để vá 10 lỗ hổng bảo mật nghiêm trọng. Trong đó, lỗ hổng bảo mật nghiêm trọng nhất được phát hiện liên quan đến thành phần nền tảng đa phương tiện Android, cho phép kẻ tấn công kiểm soát từ xa các thiết bị cầm tay dễ bị tấn công.

Hơn 1 tỉ điện thoại Android có nguy cơ bị đánh cắp dữ liệu

11:00 | 22/08/2020

Theo công ty bảo mật Check Point (Hoa Kỳ), hơn một tỉ thiết bị Android có nguy cơ bị đánh cắp dữ liệu thông qua lỗ hổng trên bộ vi xử lý Snapdragon.

Phát hiện 280 ứng dụng Android giả đánh cắp mật mã ví tiền ảo

15:00 | 18/09/2024

Công ty an ninh mạng McAfee thông báo đã phát hiện 280 ứng dụng Android giả mà đối tượng lừa đảo dùng để truy cập ví tiền ảo.

Tin cùng chuyên mục

Báo động an ninh chuỗi cung ứng toàn cầu từ vụ nổ Liban

10:00 | 30/10/2024

Vụ việc hàng nghìn máy nhắn tin và các thiết bị liên lạc khác phát nổ ở Liban hồi tháng 9 đã gióng lên hồi chuông cảnh báo về phương thức tấn công chuỗi cung ứng mới vô cùng nguy hiểm, đánh dấu sự leo thang mới trong việc sử dụng chuỗi cung ứng chống lại các đối thủ. Điều này đã đặt ra yêu cầu cấp bách cho các nhà lãnh đạo toàn cầu về việc giảm phụ thuộc vào công nghệ từ các đối thủ.

Công ty cung cấp dịch vụ chuyển tiền và thanh toán quốc tế MoneyGram bị tấn công mạng

10:00 | 01/10/2024

MoneyGram, công ty cung cấp dịch vụ chuyển tiền lớn thứ hai thế giới đã xác nhận bị tấn công mạng sau nhiều ngày người dùng gặp sự cố và phàn nàn về dịch vụ. Sự cố bắt đầu từ ngày 20/9 khiến người dùng không thể nhận tiền hay xử lý giao dịch, website cũng không thể truy cập.

Cảnh giác với chiêu trò phát tán mã độc mới thông qua Google Search

10:00 | 13/09/2024

Các chuyên gia bảo mật từ Palo Alto Networks (Hoa Kỳ) vừa phát hiện một chiến dịch tấn công bằng mã độc mới với thủ đoạn tinh vi thông qua kết quả tìm kiếm trên Google.

Cảnh báo mạo danh Ngân hàng Nhà nước yêu cầu cập nhật thông tin sinh trắc học

13:00 | 27/08/2024

Ngân hàng Nhà nước Việt Nam ghi nhận gần đây có hiện tượng đối tượng lừa đảo, giả mạo giao diện hòm thư điện tử của Ngân hàng Nhà nước Việt Nam để gửi thông tin dẫn dụ người dân, khách hàng bấm vào đường link cập nhật thông tin sinh trắc học cho giao dịch ngân hàng.