Các nhà nghiên cứu phần mềm độc hại của ESET đã phát hiện một trojan truy cập từ xa (RAT) mới trên cửa hàng ứng dụng của Google (Play Store), ẩn trong một ứng dụng recording (công cụ ghi âm thanh, quay màn hình) Android có tên là iRecorder với hàng chục nghìn lượt cài đặt.
Mặc dù iRecorder đã được thêm vào Play Store từ tháng 9 năm 2021, nhưng ứng dụng này có thể đã bị trojan hóa thông qua một bản cập nhật độc hại được phát hành gần một năm sau đó, vào tháng 8 năm 2022.
Recorder trên Google Play trước khi bị xóa bỏ (ESET)
Tên của ứng dụng khiến việc yêu cầu quyền ghi âm và truy cập tệp trên thiết bị bị nhiễm trở nên dễ dàng hơn vì các yêu cầu này có vẻ hợp lý đối với một công cụ ghi màn hình.
Trước khi bị xóa, ứng dụng này đã có hơn 50.000 lượt cài đặt trên Cửa hàng Google Play, khiến nhiều người dùng có khả năng bị nhiễm phần mềm độc hại.
Sau thông báo của ESET về hành vi nguy hiểm của iRecorder, nhóm bảo mật của Google Play đã xóa ứng dụng này khỏi cửa hàng. Tuy nhiên, ứng dụng này vẫn có thể được tìm thấy trên các thị trường ứng dụng Android khác. Ngoài ra, nhà phát triển iRecorder cũng phát hành các ứng dụng khác trên Google Play nhưng chúng không chứa mã độc.
Phần mềm độc hại được ESET đặt tên là AhRat, dựa trên một Android RAT mã nguồn mở có tên là AhMyth. Nó có nhiều khả năng, bao gồm theo dõi vị trí thiết bị, đánh cắp nhật ký cuộc gọi, danh bạ và tin nhắn, gửi tin nhắn SMS, chụp ảnh và ghi âm.
Phân tích kỹ hơn, ESET nhận thấy bản thân ứng dụng độc hại chỉ sử dụng một phần trong các khả năng của RAT, nó chỉ được sử dụng để tạo và trích xuất các bản ghi cũng như đánh cắp các tệp có phần mở rộng cụ thể, điều này cho thấy khả năng liên quan đến các hoạt động gián điệp tiềm ẩn.
Đây không phải trường hợp đầu tiên mã độc Android dựa trên AhMyth xâm nhập vào cửa hàng Google Play. Vào năm 2019, ESET cũng đã báo cáo chi tiết về một ứng dụng bị nhiễm trojan AhMyth khác. Ứng dụng này đã hai lần vượt qua quy trình kiểm tra ứng dụng của Google bằng cách giả dạng ứng dụng phát trực tuyến radio.
"Trước đây, mã nguồn mở AhMyth đã được sử dụng bởi Transparent Tribe, còn gọi là APT36, một nhóm gián điệp mạng thường xuyên sử dụng các kỹ thuật social engineering và nhắm mục tiêu vào các tổ chức chính phủ và quân sự ở Nam Á", nhà nghiên cứu Stefanko của ESET cho biết.
"Tuy nhiên, chúng tôi không thể quy kết các mẫu hiện tại [của mã độc] cho bất kỳ nhóm nào và không có dấu hiệu nào cho thấy chúng được tạo ra bởi một nhóm APT đã biết".
Người dùng đã cài đặt ứng dụng độc hại nên gỡ bỏ nó ngay khỏi thiết bị của mình để tránh các nguy cơ mất an toàn thông tin và các rủi ro tiềm ẩn khác.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | PyPI đã tạm thời đình chỉ người dùng mới đăng ký cũng như không cho phép các dự án mới được tải lên nền tảng cho đến khi có thông báo mới.
Tín nhiệm mạng | Chiến dịch phát tán phần mềm độc hại mới đang được tiến hành bằng cách giả mạo công cụ chỉnh sửa video CapCut để phát tán các phần mềm độc hại khác nhau.
Tín nhiệm mạng | Cơ quan an ninh mạng của Mỹ (CISA) đã cảnh báo về một lỗ hổng mới ảnh hưởng đến các thiết bị Samsung đang bị khai thác trong thực tế
Tín nhiệm mạng | Tin tặc đang bắt đầu nhắm mục tiêu vào thị trường ứng dụng VSCode của Microsoft, với việc tải lên ba tiện ích (extension) Visual Studio độc hại hiện đã có 46.600 lượt tải xuống.
Tín nhiệm mạng | Apple đã phát hành các bản cập nhật bảo mật cho iOS, iPadOS, macOS, tvOS, watchOS và trình duyệt web Safari để giải quyết ba lỗ hổng zero-day mới đang bị khai thác trong thực tế
Tín nhiệm mạng | Một đối tượng người Nga đã bị Bộ Tư pháp Mỹ (DoJ) buộc tội và truy tố vì đã phát động các cuộc tấn công ransomware nhằm vào "hàng nghìn nạn nhân" trong nước và trên toàn thế giới.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
