🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 Liên đoàn Lao động tỉnh Bà Rịa - Vũng Tàu đã đăng ký tín nhiệm. 🔥                    🔥 Công an thành phố Thái Nguyên đã đăng ký tín nhiệm. 🔥                   

Phần mềm độc hại Necro được phát hiện trong các ứng dụng phổ biến trên Play Store - Kiểm tra ngay!

25/09/2024

Các phiên bản giả mạo của các ứng dụng Android hợp pháp liên quan đến Spotify, WhatsApp và Minecraft đã được sử dụng để phát tán phiên bản mới phần mềm độc hại Necro.

Kaspersky cho biết một số ứng dụng độc hại cũng đã được tìm thấy trên Google Play Store. Chúng đã được tải xuống tổng cộng 11 triệu lần, bao gồm:

- Wuta Camera - Nice Shot Always (com.benqu.wuta) - hơn 10 triệu lượt tải xuống

- Max Browser-Private & Security (com.max.browser) - hơn 1 triệu lượt tải xuống

Hiện Max Browser không còn khả dụng để tải xuống từ Cửa hàng Play. Mặt khác, Wuta Camera đã được cập nhật để xóa bỏ phần mềm độc hại. Phiên bản mới nhất của ứng dụng, 6.3.8.148, đã được phát hành vào ngày 8 tháng 9 năm 2024. Vẫn chưa xác định được cả hai ứng dụng này bị phần mềm độc hại xâm nhập như thế nào.

Necro (khác với botnet cùng tên ) lần đầu tiên được công ty an ninh mạng của Nga phát hiện vào năm 2019 khi nó ẩn trong một ứng dụng quét (scan) tài liệu phổ biến có tên là CamScanner.

CamScanner sau đó cho rằng vấn đề này là do SDK quảng cáo của bên thứ ba có tên AdHub cung cấp, trong đó có chứa mô-đun độc hại hoạt động như một công cụ tải các phần mềm độc hại vào thiết bị của nạn nhân.

Phiên bản mới của phần mềm độc hại này không có gì khác biệt, mặc dù nó tích hợp các kỹ thuật che giấu để tránh bị phát hiện, đặc biệt là sử dụng kỹ thuật ẩn chữ để ẩn dữ liệu.

"Các phần mềm độc hại được tải xuống có thể hiển thị quảng cáo trong các cửa sổ vô hình và tương tác với chúng, tải xuống và thực thi các tệp DEX tùy ý, cài đặt các ứng dụng mà chúng tải xuống", nhà nghiên cứu Dmitry Kalinin của Kaspersky cho biết.

Nó cũng có thể "mở các liên kết tùy ý trong cửa sổ WebView vô hình và thực thi bất kỳ mã JavaScript nào trong đó, mở một kênh lén lút (tunnel) qua thiết bị của nạn nhân và có khả năng đăng ký các dịch vụ trả phí".

Một trong những phương tiện phân phối đáng chú ý cho Necro là các phiên bản mod của các ứng dụng và trò chơi phổ biến được lưu trữ trên các trang web và cửa hàng ứng dụng không chính thức. Sau khi tải xuống, các ứng dụng sẽ khởi tạo một mô-đun có tên là Coral SDK, sau đó, mô-đun này sẽ gửi yêu cầu HTTP POST đến một máy chủ từ xa.

Máy chủ phản hồi bằng một liên kết đến tệp hình ảnh PNG được cho là được lưu trên adoss.spinsok[.]com, sau đó SDK tiến hành trích xuất payload - một tệp Java (JAR) được mã hóa Base64 - từ tệp này.

Các chức năng độc hại của Necro được thực hiện thông qua một tập hợp các mô-đun bổ sung (hay còn gọi là plugin) được tải xuống từ máy chủ điều khiển tấn công (C2), cho phép nó thực hiện nhiều hành động khác nhau trên thiết bị Android bị nhiễm, bao gồm:

- NProxy - Tạo một tunnel qua thiết bị của nạn nhân

- web - Liên lạc định kỳ với máy chủ C2 và thực thi mã tùy ý với các quyền nâng cao khi tải các liên kết cụ thể

- Cube SDK - Mô-đun dùng để tải các plugin khác để xử lý quảng cáo ở chế độ nền

- Tap - Tải xuống mã JavaScript tùy ý và giao diện WebView dùng để tải và xem quảng cáo một cách bí mật

- Happy SDK/Jar SDK - Một mô-đun kết hợp NProxy và các mô-đun web

Việc phát hiện Happy SDK cho thấy khả năng những kẻ đứng sau chiến dịch này có thể đang thử nghiệm một phiên bản không có mô-đun.

Kalinin cho biết: "Điều này cho thấy Necro có khả năng thích ứng cao và có thể tải xuống nhiều phiên bản khác nhau của chính nó".

Dữ liệu do Kaspersky thu thập được cho thấy công ty đã chặn hơn mười nghìn cuộc tấn công Necro trên toàn thế giới từ ngày 26 tháng 8 đến ngày 15 tháng 9 năm 2024, trong đó Nga, Brazil, Việt Nam, Ecuador, Mexico, Đài Loan, Tây Ban Nha, Malaysia, Ý và Thổ Nhĩ Kỳ là những nước bị nhắm đến nhiều nhất.

Người dùng đã cài đặt các phần mềm độc hại được đề cập ở trên cần gỡ cài đặt ứng dụng ngay lập tức (đối với Max Browser) hoặc cập nhật lên phiên bản không chứa mã độc (đối với Wuta Camera). Người dùng KHÔNG nên tải ứng dụng từ các nguồn không chính thống, vì các nguồn này thường có mức độ kiểm soát bảo mật thấp hơn và dễ chứa mã độc. Trước khi tải xuống, hãy xem xét kỹ đánh giá của người dùng, xếp hạng, và lịch sử nhà phát triển; lưu ý các quyền truy cập mà ứng dụng yêu cầu. Nếu phát hiện bất kỳ điểm đáng ngờ nào, bạn nên hủy/gỡ cài đặt ứng dụng để tránh các rủi ro tiềm ẩn.

Nguồn: thehackernews.com.

scrolltop