Phát hiện nhiều mẫu điện thoại Android của các thương hiệu phổ biến bị làm giả có chứa các trojan được thiết kế để nhắm mục tiêu đến ứng dụng nhắn tin WhatsApp và WhatsApp Business.
Phần mềm độc hại mà Doctor Web phát hiện lần đầu vào tháng 7 năm 2022, đã được phát hiện lại trong phân vùng hệ thống của ít nhất bốn điện thoại thông minh P48pro, radmi note 8, Note30u và Mate40.
Doctor Web cho biết “các thiết bị bị tấn công đều là ‘bản nhái’ của các mẫu điện thoại nổi tiếng”.
"Thay vì cài đặt một trong những phiên bản hệ điều hành mới nhất với thông tin tương ứng được hiển thị trong chi tiết thiết bị (ví dụ: Android 10), các thiết bị này đang chạy phiên bản 4.4.2 đã lỗi thời từ lâu".
Việc giả mạo liên quan đến hai tệp "/system/lib/libcutils.so" và "/system/lib/libmtd.so" bị sửa đổi để khi bất kỳ ứng dụng nào sử dụng thư viện hệ thống libcutils.so, nó sẽ kích hoạt việc thực thi một trojan được tích hợp trong libmtd.so.
Khi các ứng dụng WhatsApp và WhatsApp Business sử dụng thư viện, libmtd.so sẽ khởi chạy backdoor thứ ba được thiết kế để tải và cài đặt các plugin bổ sung lên các thiết bị bị xâm phạm.
Các nhà nghiên cứu cho biết: “Đáng chú ý, các backdoor được phát hiện và các mô-đun mà chúng tải xuống hoạt động như một phần của các ứng dụng bị nhắm mục tiêu”.
"Do đó, chúng có quyền truy cập vào các tệp của ứng dụng bị tấn công và có thể đọc nội dung các cuộc trò chuyện, gửi spam, chặn và nghe các cuộc gọi điện thoại cũng như thực hiện các hành động độc hại khác tùy thuộc vào chức năng của các mô-đun đã tải xuống".
Mặt khác, nếu ứng dụng sử dụng thư viện wpa_supplicant - một system daemon được sử dụng để quản lý các kết nối mạng - libmtd.so được cấu hình để khởi động một máy chủ cục bộ cho phép kết nối từ một máy khách từ xa hoặc cục bộ thông qua "mysh" console.
Doctor Web giả thuyết rằng việc lây nhiễm vào phân vùng hệ thống có thể đã được triển khai thông qua một Trojan thuộc họ mã độc FakeUpdates (hay còn gọi là SocGholish) dựa trên việc phát hiện một backdoor được tích hợp vào ứng dụng hệ thống để cập nhật firmware qua mạng (OTA).
Các ứng dụng giả mạo được thiết kế để thu thập thông tin metadata về thiết bị bị nhiễm cũng như tải xuống và cài đặt phần mềm độc hại khác mà người dùng không hề hay biết.
Để tránh trở thành nạn nhân của các cuộc tấn công phần mềm độc hại như vậy, người dùng chỉ nên mua thiết bị di động từ các cửa hàng chính thức và nhà phân phối hợp pháp.
Nguồn: thehackernews.com.
Tín nhiệm mạng | CISA đã bổ sung một lỗ hổng bảo mật ảnh hưởng đến Palo Alto Networks PAN-OS vào Danh mục các lỗ hổng được khai thác đã biết dựa trên dấu hiệu về việc khai thác lỗ hổng trong thực tế.
Tín nhiệm mạng | Kiểm thử thâm nhập và quét lỗ hổng bảo mật thường bị nhầm lẫn với nhau. Cả hai đều tìm kiếm những điểm yếu trong cơ sở hạ tầng CNTT, tuy nhiên, có một sự khác biệt rõ ràng giữa hai phương pháp này.
Tín nhiệm mạng | Nhà sản xuất máy ATM Bitcoin-General Bytes xác nhận đã bị tấn công mạng thông qua một khai thác lỗ hổng chưa từng biết trước đây trong phần mềm của họ khiến tiền điện tử của người dùng bị lấy cắp.
Tín nhiệm mạng | Google Cloud Armor đã phát hiện và ngăn chặn thành công một cuộc tấn công DDoS HTTPS lớn nhất lịch sử với đỉnh điểm 46 triệu rps nhằm vào khách hàng của họ.
Tín nhiệm mạng | Google đã phát hành các bản vá bảo mật cho trình duyệt Chrome dành cho máy tính để bàn để ngăn chặn lỗ hổng zero-day mức cao đã bị khai thác trong thực tế.
Tín nhiệm mạng | Apple đã phát hành bản cập nhật bảo mật cho các nền tảng iOS, iPadOS, và macOS để khắc phục hai lỗ hổng zero-day có thể đã bị khai thác trong thực tế.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
