🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Trường Đại học Kinh tế Kỹ thuật - Công nghiệp đã đăng ký tín nhiệm. 🔥                    🔥 Sở Tư pháp tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 Trang Thông tin về Phổ biến, giáo dục pháp luật tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Các ứng dụng độc hại đang sử dụng kỹ thuật versioning để vượt qua kiểm tra của Google Play Store

07/08/2023

Các tác nhân đe dọa đang lợi dụng một kỹ thuật có tên là ‘versioning’ (cập nhật phiên bản) để vượt qua khả năng phát hiện phần mềm độc hại của Cửa hàng Google Play và nhắm mục tiêu vào người dùng Android.

"Các chiến dịch sử dụng versioning thường nhắm mục tiêu thông tin đăng nhập, dữ liệu và tài chính của người dùng", Nhóm Cybersecurity Action của Google (GCAT) cho biết trong Báo cáo về các mối đe dọa vào tháng 8 năm 2023.

Mặc dù versioning không phải là một kỹ thuật mới, nhưng nó được thực hiện lén lút và khó phát hiện. Theo phương pháp này, nhà phát triển phát hành phiên bản vô hại đầu tiên của ứng dụng trên Cửa hàng Play, phiên bản này đã vượt qua các cuộc kiểm tra của Google trước khi xuất bản, nhưng sau đó được cập nhật để bổ sung các thành phần phần mềm độc hại.

Điều này đạt được bằng cách tải lên bản cập nhật từ máy chủ do kẻ tấn công kiểm soát để phát tán mã độc hại trên thiết bị của người dùng cuối bằng phương pháp tải mã động (DCL), biến ứng dụng thành một backdoor.

Đầu tháng 5 này, ESET đã phát hiện ra một ứng dụng ghi màn hình có tên " iRecorder - Screen Recorder" hoạt động vô hại trong gần một năm kể từ lần đầu tiên được phát hành trên Play Store trước khi đưa ra những thay đổi độc hại để lén lút theo dõi người dùng.

Một ví dụ khác về phần mềm độc hại sử dụng phương pháp DCL là SharkBot, phần mềm này đã nhiều lần xuất hiện trên Play Store bằng cách giả dạng các ứng dụng hợp pháp. SharkBot là một trojan tài chính cho phép chuyển tiền trái phép từ các thiết bị bị xâm nhập bằng giao thức Dịch vụ chuyển tiền tự động (ATS).

Các ứng dụng lây nhiễm mã độc (dropper) xuất hiện trên cửa hàng ứng dụng với chức năng chưa hoàn chỉnh, sau khi được cài đặt trên thiết bị nạn nhân, sẽ tải xuống phiên bản đầy đủ của phần mềm độc hại nhằm ít gây sự chú ý hơn.

Theo KrebsOnSecurity, phát hiện được đưa ra khi ThreatFabric tiết lộ rằng những kẻ cung cấp phần mềm độc hại đã khai thác một lỗi trong Android để biến các ứng dụng độc hại thành vô hại.

"Các tác nhân đe dọa có thể xuất bản một số ứng dụng trong cửa hàng cùng một lúc dưới các tài khoản nhà phát triển khác nhau, tuy nhiên, chỉ một ứng dụng hoạt động là độc hại, các ứng dụng kia là bản dự phòng để sử dụng sau khi ứng dụng độc hại bị phát hiện và gỡ xuống", công ty bảo mật Hà Lan lưu ý vào tháng 6.

"Điều này giúp các tác nhân đe dọa duy trì các chiến dịch trong thời gian dài, giảm thiểu thời gian cần thiết để phát hành một ứng dụng độc hại khác và tiếp tục chiến dịch".

Để giảm thiểu mọi rủi ro tiềm ẩn, người dùng Android chỉ nên tải xuống ứng dụng từ các nguồn đáng tin cậy và bật Google Play Protect để nhận thông báo khi phát hiện ứng dụng có khả năng gây hại (PHA) trên thiết bị, đồng thời lưu ý các quyền được cấp cho ứng dụng trong khi cài đặt. Nếu phát hiện bất kỳ điểm đáng ngờ nào, tốt nhất bạn nên gỡ hoặc hủy cài đặt ứng dụng.

Nguồn: thehackernews.com.

scrolltop