🔥 Tạp chí Sức khỏe và Môi trường đã đăng ký tín nhiệm. 🔥                    🔥 Chi cục An toàn vệ sinh thực phẩm tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Phú Nhuận, huyện Như Thanh, Thanh Hóa đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Xuân Khang, huyện Như Thanh, Thanh Hóa đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Yên Thọ, huyện Như Thanh, Thanh Hóa đã đăng ký tín nhiệm. 🔥                   

Phát hiện mã độc AhRat mới trong ứng dụng Android đã có 50.000 lượt cài đặt

25/05/2023

Các nhà nghiên cứu phần mềm độc hại của ESET đã phát hiện một trojan truy cập từ xa (RAT) mới trên cửa hàng ứng dụng của Google (Play Store), ẩn trong một ứng dụng recording (công cụ ghi âm thanh, quay màn hình) Android có tên là iRecorder với hàng chục nghìn lượt cài đặt.

Mặc dù iRecorder đã được thêm vào Play Store từ tháng 9 năm 2021, nhưng ứng dụng này có thể đã bị trojan hóa thông qua một bản cập nhật độc hại được phát hành gần một năm sau đó, vào tháng 8 năm 2022.

Recorder trên Google Play trước khi bị xóa bỏ (ESET)

Tên của ứng dụng khiến việc yêu cầu quyền ghi âm và truy cập tệp trên thiết bị bị nhiễm trở nên dễ dàng hơn vì các yêu cầu này có vẻ hợp lý đối với một công cụ ghi màn hình.

Trước khi bị xóa, ứng dụng này đã có hơn 50.000 lượt cài đặt trên Cửa hàng Google Play, khiến nhiều người dùng có khả năng bị nhiễm phần mềm độc hại.

Sau thông báo của ESET về hành vi nguy hiểm của iRecorder, nhóm bảo mật của Google Play đã xóa ứng dụng này khỏi cửa hàng. Tuy nhiên, ứng dụng này vẫn có thể được tìm thấy trên các thị trường ứng dụng Android khác. Ngoài ra, nhà phát triển iRecorder cũng phát hành các ứng dụng khác trên Google Play nhưng chúng không chứa mã độc.

Phần mềm độc hại được ESET đặt tên là AhRat, dựa trên một Android RAT mã nguồn mở có tên là AhMyth. Nó có nhiều khả năng, bao gồm theo dõi vị trí thiết bị, đánh cắp nhật ký cuộc gọi, danh bạ và tin nhắn, gửi tin nhắn SMS, chụp ảnh và ghi âm.

Phân tích kỹ hơn, ESET nhận thấy bản thân ứng dụng độc hại chỉ sử dụng một phần trong các khả năng của RAT, nó chỉ được sử dụng để tạo và trích xuất các bản ghi cũng như đánh cắp các tệp có phần mở rộng cụ thể, điều này cho thấy khả năng liên quan đến các hoạt động gián điệp tiềm ẩn.

Đây không phải trường hợp đầu tiên mã độc Android dựa trên AhMyth xâm nhập vào cửa hàng Google Play. Vào năm 2019, ESET cũng đã báo cáo chi tiết về một ứng dụng bị nhiễm trojan AhMyth khác. Ứng dụng này đã hai lần vượt qua quy trình kiểm tra ứng dụng của Google bằng cách giả dạng ứng dụng phát trực tuyến radio.

"Trước đây, mã nguồn mở AhMyth đã được sử dụng bởi Transparent Tribe, còn gọi là APT36, một nhóm gián điệp mạng thường xuyên sử dụng các kỹ thuật social engineering và nhắm mục tiêu vào các tổ chức chính phủ và quân sự ở Nam Á", nhà nghiên cứu Stefanko của ESET cho biết.

"Tuy nhiên, chúng tôi không thể quy kết các mẫu hiện tại [của mã độc] cho bất kỳ nhóm nào và không có dấu hiệu nào cho thấy chúng được tạo ra bởi một nhóm APT đã biết".

Người dùng đã cài đặt ứng dụng độc hại nên gỡ bỏ nó ngay khỏi thiết bị của mình để tránh các nguy cơ mất an toàn thông tin và các rủi ro tiềm ẩn khác.

Nguồn: bleepingcomputer.com.

scrolltop