🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Phần mềm gián điệp Android giả dạng ứng dụng VPN, ứng dụng chat trên Google Play

20/06/2023

Ba ứng dụng Android trên Google Play đã được các tác nhân đe dọa sử dụng để thu thập các thông tin như dữ liệu vị trí và danh sách liên hệ từ các thiết bị được nhắm mục tiêu.

Cyfirma, công ty bảo mật đã phát hiện ra các ứng dụng độc hại, cho rằng hoạt động này có khả năng liên quan đến nhóm tin tặc Ấn Độ "DoNot", hay APT-C-35, nhóm đã nhắm mục tiêu vào các tổ chức nổi tiếng ở Đông Nam Á ít nhất từ năm 2018.

Vào năm 2021, một báo cáo của Tổ chức Ân xá Quốc tế đã chỉ ra mối liên kiết của nhóm này với một công ty an ninh mạng của Ấn Độ, nhấn mạnh một chiến dịch phát tán phần mềm gián điệp cũng dựa trên một ứng dụng trò chuyện giả mạo.

Các ứng dụng được sử dụng trong chiến dịch mới nhất của DoNot thu thập các thông tin cơ bản để chuẩn bị cho việc phát tán phần mềm độc hại nguy hiểm hơn.

Các ứng dụng đáng ngờ được Cyfirma phát hiện trên Google Play là nSure Chat, iKHfaa VPN và một ứng dụng khác, do cùng một người phát hành có tên SecurITY Industry, hiện vẫn có sẵn trên Google Play. Số lượt tải xuống thấp của các ứng dụng cho thấy chúng có thể được sử dụng để nhắm đến các mục tiêu cụ thể.

Hai ứng dụng yêu cầu các quyền truy cập vào danh sách liên hệ của người dùng (READ_CONTACTS) và dữ liệu vị trí (ACCESS_FINE_LOCATION) trong khi cài đặt, để trích xuất thông tin này cho tác nhân đe dọa.

Dữ liệu đã thu thập được lưu trữ cục bộ bằng thư viện ROOM của Android và sau đó được gửi đến máy chủ do kẻ tấn công kiểm soát (C2) thông qua request HTTP.

C2 cho ứng dụng VPN là "https[:]ikhfaavpn[.]com." trong khi địa chỉ máy chủ của nSure Chat được phát hiện là đã xuất hiện trong các hoạt động của Cobalt Strike vào năm ngoái.

Các nhà phân tích của Cyfirma phát hiện ra rằng mã nguồn của ứng dụng VPN được phát triển dựa trên ứng dụng Liberty VPN hợp pháp.

DoNot

Cyfirma quy kết chiến dịch này cho nhóm đe dọa DoNot dựa trên việc sử dụng các chuỗi cụ thể được mã hóa sử dụng thuật toán AES/CBC/PKCS5PADDING và che giấu Proguard, cả hai kỹ thuật này từng được tin tặc Ấn Độ sử dụng.

Ngoài ra, có một số trùng hợp khó có thể xảy ra trong việc đặt tên cho một số tệp nhất định do các ứng dụng độc hại tạo ra, cho thấy sự tương đồng với các chiến dịch DoNot đã thực hiện trong quá khứ.

Thay vì gửi email lừa đảo có chứa tệp đính kèm độc hại, các nhà nghiên cứu cho rằng những kẻ tấn công đã chuyển sang gửi tin nhắn lừa đảo thông qua WhatsApp và Telegram. Tin nhắn trên các ứng dụng này chuyển hướng nạn nhân đến cửa hàng Google Play, một nền tảng đáng tin cậy, vì vậy họ có thể dễ dàng bị lừa tải xuống các ứng dụng được đề xuất.

Người dùng nên thận trọng trước khi cài đặt bất kỳ một ứng dụng nào trên thiết bị của mình, hãy đọc kỹ các đánh giá, bình luận và xem xét cẩn thận các quyền được yêu cầu trong khi cài đặt. Tuyệt đối không cài đặt các ứng dụng nếu phát hiện bất kỳ điểm đáng ngờ nào.

Nguồn: bleepingcomputer.com.

scrolltop