Các tác nhân đe dọa đang lợi dụng một kỹ thuật có tên là ‘versioning’ (cập nhật phiên bản) để vượt qua khả năng phát hiện phần mềm độc hại của Cửa hàng Google Play và nhắm mục tiêu vào người dùng Android.
"Các chiến dịch sử dụng versioning thường nhắm mục tiêu thông tin đăng nhập, dữ liệu và tài chính của người dùng", Nhóm Cybersecurity Action của Google (GCAT) cho biết trong Báo cáo về các mối đe dọa vào tháng 8 năm 2023.
Mặc dù versioning không phải là một kỹ thuật mới, nhưng nó được thực hiện lén lút và khó phát hiện. Theo phương pháp này, nhà phát triển phát hành phiên bản vô hại đầu tiên của ứng dụng trên Cửa hàng Play, phiên bản này đã vượt qua các cuộc kiểm tra của Google trước khi xuất bản, nhưng sau đó được cập nhật để bổ sung các thành phần phần mềm độc hại.
Điều này đạt được bằng cách tải lên bản cập nhật từ máy chủ do kẻ tấn công kiểm soát để phát tán mã độc hại trên thiết bị của người dùng cuối bằng phương pháp tải mã động (DCL), biến ứng dụng thành một backdoor.
Đầu tháng 5 này, ESET đã phát hiện ra một ứng dụng ghi màn hình có tên " iRecorder - Screen Recorder" hoạt động vô hại trong gần một năm kể từ lần đầu tiên được phát hành trên Play Store trước khi đưa ra những thay đổi độc hại để lén lút theo dõi người dùng.
Một ví dụ khác về phần mềm độc hại sử dụng phương pháp DCL là SharkBot, phần mềm này đã nhiều lần xuất hiện trên Play Store bằng cách giả dạng các ứng dụng hợp pháp. SharkBot là một trojan tài chính cho phép chuyển tiền trái phép từ các thiết bị bị xâm nhập bằng giao thức Dịch vụ chuyển tiền tự động (ATS).
Các ứng dụng lây nhiễm mã độc (dropper) xuất hiện trên cửa hàng ứng dụng với chức năng chưa hoàn chỉnh, sau khi được cài đặt trên thiết bị nạn nhân, sẽ tải xuống phiên bản đầy đủ của phần mềm độc hại nhằm ít gây sự chú ý hơn.
Theo KrebsOnSecurity, phát hiện được đưa ra khi ThreatFabric tiết lộ rằng những kẻ cung cấp phần mềm độc hại đã khai thác một lỗi trong Android để biến các ứng dụng độc hại thành vô hại.
"Các tác nhân đe dọa có thể xuất bản một số ứng dụng trong cửa hàng cùng một lúc dưới các tài khoản nhà phát triển khác nhau, tuy nhiên, chỉ một ứng dụng hoạt động là độc hại, các ứng dụng kia là bản dự phòng để sử dụng sau khi ứng dụng độc hại bị phát hiện và gỡ xuống", công ty bảo mật Hà Lan lưu ý vào tháng 6.
"Điều này giúp các tác nhân đe dọa duy trì các chiến dịch trong thời gian dài, giảm thiểu thời gian cần thiết để phát hành một ứng dụng độc hại khác và tiếp tục chiến dịch".
Để giảm thiểu mọi rủi ro tiềm ẩn, người dùng Android chỉ nên tải xuống ứng dụng từ các nguồn đáng tin cậy và bật Google Play Protect để nhận thông báo khi phát hiện ứng dụng có khả năng gây hại (PHA) trên thiết bị, đồng thời lưu ý các quyền được cấp cho ứng dụng trong khi cài đặt. Nếu phát hiện bất kỳ điểm đáng ngờ nào, tốt nhất bạn nên gỡ hoặc hủy cài đặt ứng dụng.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện ra một loạt các package npm độc hại mới được thiết kế để lấy cắp thông tin nhạy cảm của nhà phát triển.
Tín nhiệm mạng | Tin tặc đang khai thác lỗ hổng thực thi mã từ xa 'BleedingPipe' trong các bản mod Minecraft để chạy các lệnh độc hại trên máy chủ và máy khách, cho phép chúng kiểm soát thiết bị.
Tín nhiệm mạng | Canon đang cảnh báo người dùng máy in phun khổ lớn tại nhà, văn phòng và gia đình rằng cài đặt kết nối Wi-Fi của họ được lưu trong bộ nhớ của thiết bị sẽ không bị xóa, chúng đáng ra nên được xóa trong quá trình khởi tạo, cho phép người khác truy cập vào dữ liệu.
Tín nhiệm mạng | Tin tặc đang sử dụng một ứng dụng Android giả mạo có tên 'SafeChat' để lây nhiễm phần mềm gián điệp độc hại nhằm đánh cắp thông tin nhật ký cuộc gọi, tin nhắn và vị trí GPS từ điện thoại.
Tín nhiệm mạng | Google đã công bố báo cáo lỗ hổng zero-day hàng năm, trình bày số liệu thống kê về các hoạt động khai thác trong thực tế từ năm 2022 và nêu bật một vấn đề tồn tại đã lâu trong nền tảng Android gây rủi ro cho các sản phẩm, thiết bị của người dùng.
Lỗ hổng nghiêm trọng trên thiết bị MikroTik RouterOS
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
