Các phiên bản giả mạo của các ứng dụng Android hợp pháp liên quan đến Spotify, WhatsApp và Minecraft đã được sử dụng để phát tán phiên bản mới phần mềm độc hại Necro.
Kaspersky cho biết một số ứng dụng độc hại cũng đã được tìm thấy trên Google Play Store. Chúng đã được tải xuống tổng cộng 11 triệu lần, bao gồm:
- Wuta Camera - Nice Shot Always (com.benqu.wuta) - hơn 10 triệu lượt tải xuống
- Max Browser-Private & Security (com.max.browser) - hơn 1 triệu lượt tải xuống
Hiện Max Browser không còn khả dụng để tải xuống từ Cửa hàng Play. Mặt khác, Wuta Camera đã được cập nhật để xóa bỏ phần mềm độc hại. Phiên bản mới nhất của ứng dụng, 6.3.8.148, đã được phát hành vào ngày 8 tháng 9 năm 2024. Vẫn chưa xác định được cả hai ứng dụng này bị phần mềm độc hại xâm nhập như thế nào.
Necro (khác với botnet cùng tên ) lần đầu tiên được công ty an ninh mạng của Nga phát hiện vào năm 2019 khi nó ẩn trong một ứng dụng quét (scan) tài liệu phổ biến có tên là CamScanner.
CamScanner sau đó cho rằng vấn đề này là do SDK quảng cáo của bên thứ ba có tên AdHub cung cấp, trong đó có chứa mô-đun độc hại hoạt động như một công cụ tải các phần mềm độc hại vào thiết bị của nạn nhân.
Phiên bản mới của phần mềm độc hại này không có gì khác biệt, mặc dù nó tích hợp các kỹ thuật che giấu để tránh bị phát hiện, đặc biệt là sử dụng kỹ thuật ẩn chữ để ẩn dữ liệu.
"Các phần mềm độc hại được tải xuống có thể hiển thị quảng cáo trong các cửa sổ vô hình và tương tác với chúng, tải xuống và thực thi các tệp DEX tùy ý, cài đặt các ứng dụng mà chúng tải xuống", nhà nghiên cứu Dmitry Kalinin của Kaspersky cho biết.
Nó cũng có thể "mở các liên kết tùy ý trong cửa sổ WebView vô hình và thực thi bất kỳ mã JavaScript nào trong đó, mở một kênh lén lút (tunnel) qua thiết bị của nạn nhân và có khả năng đăng ký các dịch vụ trả phí".
Một trong những phương tiện phân phối đáng chú ý cho Necro là các phiên bản mod của các ứng dụng và trò chơi phổ biến được lưu trữ trên các trang web và cửa hàng ứng dụng không chính thức. Sau khi tải xuống, các ứng dụng sẽ khởi tạo một mô-đun có tên là Coral SDK, sau đó, mô-đun này sẽ gửi yêu cầu HTTP POST đến một máy chủ từ xa.
Máy chủ phản hồi bằng một liên kết đến tệp hình ảnh PNG được cho là được lưu trên adoss.spinsok[.]com, sau đó SDK tiến hành trích xuất payload - một tệp Java (JAR) được mã hóa Base64 - từ tệp này.
Các chức năng độc hại của Necro được thực hiện thông qua một tập hợp các mô-đun bổ sung (hay còn gọi là plugin) được tải xuống từ máy chủ điều khiển tấn công (C2), cho phép nó thực hiện nhiều hành động khác nhau trên thiết bị Android bị nhiễm, bao gồm:
- NProxy - Tạo một tunnel qua thiết bị của nạn nhân
- web - Liên lạc định kỳ với máy chủ C2 và thực thi mã tùy ý với các quyền nâng cao khi tải các liên kết cụ thể
- Cube SDK - Mô-đun dùng để tải các plugin khác để xử lý quảng cáo ở chế độ nền
- Tap - Tải xuống mã JavaScript tùy ý và giao diện WebView dùng để tải và xem quảng cáo một cách bí mật
- Happy SDK/Jar SDK - Một mô-đun kết hợp NProxy và các mô-đun web
Việc phát hiện Happy SDK cho thấy khả năng những kẻ đứng sau chiến dịch này có thể đang thử nghiệm một phiên bản không có mô-đun.
Kalinin cho biết: "Điều này cho thấy Necro có khả năng thích ứng cao và có thể tải xuống nhiều phiên bản khác nhau của chính nó".
Dữ liệu do Kaspersky thu thập được cho thấy công ty đã chặn hơn mười nghìn cuộc tấn công Necro trên toàn thế giới từ ngày 26 tháng 8 đến ngày 15 tháng 9 năm 2024, trong đó Nga, Brazil, Việt Nam, Ecuador, Mexico, Đài Loan, Tây Ban Nha, Malaysia, Ý và Thổ Nhĩ Kỳ là những nước bị nhắm đến nhiều nhất.
Người dùng đã cài đặt các phần mềm độc hại được đề cập ở trên cần gỡ cài đặt ứng dụng ngay lập tức (đối với Max Browser) hoặc cập nhật lên phiên bản không chứa mã độc (đối với Wuta Camera). Người dùng KHÔNG nên tải ứng dụng từ các nguồn không chính thống, vì các nguồn này thường có mức độ kiểm soát bảo mật thấp hơn và dễ chứa mã độc. Trước khi tải xuống, hãy xem xét kỹ đánh giá của người dùng, xếp hạng, và lịch sử nhà phát triển; lưu ý các quyền truy cập mà ứng dụng yêu cầu. Nếu phát hiện bất kỳ điểm đáng ngờ nào, bạn nên hủy/gỡ cài đặt ứng dụng để tránh các rủi ro tiềm ẩn.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) đã được phát hiện, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
Tín nhiệm mạng | CISA đã thêm 05 lỗ hổng vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), bao gồm một lỗ hổng thực thi mã từ xa ảnh hưởng đến Apache HugeGraph-Server.
Tín nhiệm mạng | GitLab đã phát hành bản vá bảo mật mới để giải quyết một lỗ hổng nghiêm trọng ảnh hưởng đến Community Edition (CE) và Enterprise Edition (EE) dẫn đến việc bỏ qua xác thực.
Tín nhiệm mạng | Theo những phát hiện mới từ Huntress, các tác nhân đe dọa đã nhắm vào ngành xây dựng bằng cách xâm nhập vào Phần mềm kế toán FOUNDATION.
Tín nhiệm mạng | Broadcom đã khắc phục một lỗ hổng nghiêm trọng trong VMware vCenter Server mà kẻ tấn công có thể khai thác để thực thi mã từ xa trên các máy chủ chưa được vá
Tín nhiệm mạng | Lỗ hổng giả mạo Windows MSHTML mới được khắc phục gần đây, CVE-2024-43461, hiện được xác định là đã từng bị khai thác sau khi bị nhóm tin tặc Void Banshee APT lạm dụng trong các cuộc tấn công.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
