Một phần mềm gián điệp Android đã được phát hiện giả mạo một dịch vụ quản lý tiến trình (Process Manager) để lén lút lấy cắp thông tin nhạy cảm được lưu trữ trong các thiết bị bị nhiễm.
Phần mềm này bao gồm package "com.remote.app"-kết nối với một máy chủ điều khiển từ xa (C2) của nhóm tấn công Turla.
Các nhà nghiên cứu Lab52 cho biết: “Khi chạy ứng dụng, một cảnh báo về các quyền đã cấp cho ứng dụng sẽ xuất hiện. Chúng bao gồm quyền mở/khóa màn hình, thiết lập proxy cho thiết bị; thiết lập hết hạn mật khẩu khóa màn hình; mã hóa bộ nhớ và tắt máy ảnh."
Sau khi ứng dụng được kích hoạt, phần mềm độc hại sẽ xóa biểu tượng hình “bánh răng” khỏi màn hình chính và chạy ở chế độ nền (background), lạm dụng các quyền được cấp để truy cập danh bạ và nhật ký cuộc gọi của thiết bị, theo dõi vị trí, gửi và đọc tin nhắn, truy cập bộ nhớ ngoài, dữ liệu hình ảnh, ghi âm.
Thông tin thu thập được sẽ được chuyển đến máy chủ C2. Mặc dù có sự liên quan, nhưng Lab52 cho biết không có đủ bằng chứng để xác định phần mềm độc hại này thuộc về nhóm Turla.
Cũng chưa rõ điểm truy cập ban đầu được dùng để phát tán phần mềm gián điệp và các mục tiêu của chúng.
Các nhà nghiên cứu cho biết ứng dụng giả mạo Android này cũng cố gắng cài đặt Roz Dhan (một ứng dụng hợp pháp trên Google Play có hơn 10 triệu lượt cài đặt và cho phép người dùng kiếm phần thưởng tiền mặt khi hoàn thành các khảo sát) trên các thiết bị để kiếm lời.
Người dùng nên cẩn thận khi cài đặt hay cấp quyền cho một ứng dụng mới trên thiết bị của mình để tránh trở thành nạn nhân của các chiến dịch phát tán mã độc như vậy.
Nguồn: thehackernews.com.
Tín nhiệm mạng | 'Spring4Shell', lỗ hổng zero-day mới trong Spring Core Java framework đã được tiết lộ công khai, cho phép thực thi mã từ xa mà không cần xác thực trên các ứng dụng.
Tín nhiệm mạng | Google đã phát hành phiên bản Stable Chrome 100 dành cho máy tính để bàn. Phiên bản này bao gồm một logo mới, các cải tiến bảo mật và các tính năng mới.
Tín nhiệm mạng | Sky Mavis đã xác nhận một đối tượng đã tấn công sàn giao dịch Ronin và đánh cắp 173.600 Ethereum và 25,5 triệu USDC token, trị giá 617 triệu đô la theo giá hiện nay.
Tín nhiệm mạng | Băng nhóm ransomware LAPSUS$ đã trở lại sau "kỳ nghỉ" dài một tuần và thông báo làm rò rỉ 70GB dữ liệu của Globant.
Tín nhiệm mạng | Tội phạm mạng luôn sử dụng IP của bên thứ ba để thực hiện các cuộc tấn công. Một cách hiệu quả để ngăn chặn các cuộc tấn công mạng là báo cáo và chặn các địa chỉ IP độc hại được sử dụng bởi chúng.
Tín nhiệm mạng | Một kỹ thuật hiển thị được dùng trong các nền tảng nhắn tin Instagram, iMessage, WhatsApp, Signal và Facebook Messenger, cho phép những kẻ tấn công tạo ra các tin nhắn lừa đảo hợp pháp trong ba năm qua.