.jpg)
Các ứng dụng độc hại đã được phát hiện bởi các nhà nghiên cứu tới từ công ty an ninh mạng Cyfirma, họ đã quy kết hoạt động này liên quan đến một nhóm tin tặc tới từ Ấn Độ có tên là “DoNot”, còn được gọi là “APT-C-35” - nhóm này đã nhắm mục tiêu tấn công mạng vào một số tổ chức/doanh nghiệp lớn ở Đông Nam Á ít nhất là từ năm 2018.
Vào năm 2021, một báo cáo của Tổ chức Ân xá Quốc tế đã liên kết nhóm đe dọa này với một công ty an ninh mạng của Ấn Độ và nêu bật một chiến dịch phân phối cũng dựa trên một ứng dụng trò chuyện giả mạo. Các ứng dụng được sử dụng trong chiến dịch mới nhất của DoNot thực hiện thu thập thông tin cơ bản để chuẩn bị cơ sở cho việc lây nhiễm phần mềm độc hại nguy hiểm hơn, đại diện cho giai đoạn đầu tiên của các cuộc tấn công của tin tặc này.
Các ứng dụng đáng ngờ mà Cyfirma tìm thấy trên Google Play là “nSure Chat” và “iKHfaa VPN”, cả hai đều được tải lên từ “SecurITY Industry”. Ngoài ra, một ứng dụng khác cũng có nguồn gốc từ nhà xuất bản này là “Device Basics Plus”. Cyfirma cho biết số lượt tải xuống tương đối nhỏ đối với các ứng dụng trên cho thấy rằng chúng được sử dụng có chọn lọc, nhắm mục tiêu đến các cá nhân hoặc nhóm cụ thể.
Ứng dụng độc hại trên Google Play
Các ứng dụng yêu cầu các quyền rủi ro trong quá trình cài đặt, chẳng hạn như quyền truy cập vào danh sách liên hệ của người dùng (READ_CONTACTS) và dữ liệu vị trí chính xác (ACCESS_FINE_LOCATION) để lọc thông tin này cho các tin tặc.
Khi cài đặt ứng dụng các ứng dụng độc hại, người dùng được nhắc nhở để cấp các quyền có thể gây rủi ro tiềm ẩn, bao gồm truy cập thông tin danh sách liên hệ và vị trí chính xác của họ. Thông tin sau đó được gửi đến máy chủ chỉ huy và kiểm soát (C2) của tin tặc.
.jpg)
Quyền được yêu cầu bởi ứng dụng VPN độc hại
Lưu ý rằng để truy cập vị trí của mục tiêu, GPS cần phải hoạt động, nếu không, ứng dụng sẽ tìm nạp vị trí thiết bị đã biết cuối cùng. Dữ liệu đã thu thập được lưu trữ cục bộ bằng thư viện ROOM của Android và sau đó được gửi đến máy chủ C2 của kẻ tấn công thông qua phương thức HTTP request.
.jpg)
Môđun truy xuất vị trí thiết bị
Ứng dụng VPN sử dụng máy chủ với địa chỉ tên miền “https[:]ikhfaavpn[.]com”. Trong trường hợp của nSure Chat, địa chỉ máy chủ của nó đã được liên kết trong các hoạt động của Cobalt Strike vào năm 2022. Các nhà phân tích của Cyfirma đã phát hiện ra rằng cơ sở mã của ứng dụng VPN được lấy trực tiếp từ sản phẩm Liberty VPN hợp pháp.
Cyfirma xác định chiến dịch tấn công mạng lần này được thực hiện bởi nhóm tin tặc DoNot là vì dựa trên việc sử dụng cụ thể các chuỗi được mã hóa sử dụng thuật toán AES/CBC/PKCS5PADDING và thuật toán che giấu Proguard, cả hai kỹ thuật thường có liên quan đến tin tặc Ấn Độ.
.jpg)
Chức năng mã hóa trong mã của ứng dụng
Các nhà nghiên cứu tin rằng các tin tặc đã từ bỏ chiến thuật gửi có chứa tệp đính kèm độc hại để chuyển sang tấn công bằng tin nhắn thông qua ứng dụng nhắn tin WhatsApp và .
Tin nhắn trực tiếp trên các ứng dụng này hướng nạn nhân đến cửa hàng , một nền tảng đáng tin cậy tạo ra tính hợp pháp cho cuộc tấn công, vì vậy họ có thể dễ dàng bị lừa để tải xuống các ứng dụng được đề xuất.
Hồng Đạt
(Bleepingcomputer)
16:00 | 03/02/2023
09:00 | 17/07/2023
16:00 | 04/08/2023
14:00 | 01/11/2023
08:00 | 13/10/2023
16:00 | 21/07/2023
13:00 | 29/12/2023
15:00 | 19/02/2024
09:00 | 25/11/2022
08:00 | 22/05/2024
09:00 | 13/04/2023
09:00 | 16/10/2024
Các nhà nghiên cứu của hãng bảo mật Zscaler (Mỹ) đã phân tích một biến thể mới của Copybara, một họ phần mềm độc hại Android xuất hiện vào tháng 11/2021. Copybara là một Trojan chủ yếu lây nhiễm thông qua các cuộc tấn công lừa đảo bằng giọng nói (vishing), trong đó nạn nhân nhận được hướng dẫn qua điện thoại để cài đặt phần mềm độc hại Android. Bài viết sẽ phân tích về biến thể mới của Copybara dựa trên báo cáo của Zscaler.
07:00 | 16/09/2024
Trước những cáo buộc liên quan đến việc hỗ trợ tội phạm tình dục bằng công nghệ deepfake, ứng dụng nhắn tin Telegram đang bị nhà chức trách Hàn Quốc tiến hành điều tra sơ bộ để làm rõ trách nhiệm.
10:00 | 30/08/2024
Các chuyên gia bảo mật của hãng ESET (Slovakia) vừa phát hiện một phần mềm độc hại mới trên nền tảng Android có khả năng sử dụng đầu đọc NFC để đánh cắp thông tin thanh toán từ thiết bị của nạn nhân và chuyển dữ liệu này đến tay kẻ tấn công.
13:00 | 01/08/2024
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung 2 lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác tích cực trong thực tế.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Các cơ quan chính phủ tại Mỹ, Úc và Canada đưa ra cảnh báo các tác nhân đe dọa được nhà nước Iran bảo trợ sử dụng kỹ thuật tấn công Brute Force và nhiều phương thức khác để triển khai các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng.
10:00 | 25/10/2024
