Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Cẩn trọng với spyware núp bóng ứng dụng Telegram và Threema
Các chuyên gia vừa phát hiện chiến dịch giả mạo các ứng dụng phổ biến như Telegram và Threema để phát tán mã độc trên thiết bị Android. Đứng sau đó là nhóm hacker từng thực hiện tấn công ở Trung Đông ít nhất từ năm 2017.
“So với các phiên bản được ghi nhận vào năm 2017, Android/SpyC23.A có chức năng gián điệp mở rộng, bao gồm đọc thông báo từ các ứng dụng nhắn tin, ghi âm cuộc gọi và ghi âm màn hình cũng như các tính năng ẩn mới, như loại bỏ thông báo từ các ứng dụng bảo mật mặc định trên Android”, các chuyên gia cho biết.
Được biết đến năm 2017 với biệt danh Bọ cạp hai đuôi (còn gọi là APT-C-23 hoặc Bọ cạp sa mạc), nhóm hacker phát tán phần mềm giám sát có khả năng do thám thiết bị, lấy cắp nhật ký cuộc gọi , danh bạ, vị trí, tin nhắn, ảnh và các tài liệu nhạy cảm khác.
Năm 2018, Symantec đã phát hiện một biến thể mới hơn của chiến dịch, sử dụng trình phát đa phương tiện để thu thập thông tin từ thiết bị và lừa nạn nhân cài đặt thêm phần mềm độc hại.
Đầu năm nay, Check Point Research tiếp tục phát hiện dấu hiệu mới về hoạt động của APT-C-23 khi các hacker này đóng giả các cô gái tuổi teen trên Facebook, Instagram và Telegram để dụ binh sĩ Israel cài đặt các ứng dụng nhiễm mã độc.
Theo các chuyên gia, phiên bản mới nhất của phần mềm gián điệp có khả năng thu thập thông tin từ các ứng dụng nhắn tin và truyền thông xã hội thông qua ghi màn hình và ảnh chụp màn hình, thậm chí ghi lại các cuộc gọi đến và đi trong WhatsApp và đọc thông báo từ ứng dụng mạng xã hội như WhatsApp, Viber, Facebook, Skype và Messenger.
Hacker lừa nạn nhân truy cập vào kho ứng dụng Android giả mạo có tên "DigitalApps" và tải xuống các ứng dụng như Telegram, Threema và weMessage. Việc giả mạo ứng dụng nhắn tin nhằm “hợp thức hóa” yêu cầu người dùng cấp quyền truy cập tin nhắn.
Ngoài yêu cầu đọc thông báo, tắt Google Play Protect và ghi lại màn hình của người dùng dưới vỏ bọc các tính năng bảo mật và quyền riêng tư, mã độc còn giao tiếp với máy chủ C&C để tìm kiếm nạn nhân mới và truyền thông tin thiết bị.
Máy chủ C&C thường giả dạng trang web đang được bảo trì, cũng chịu trách nhiệm chuyển tiếp các lệnh đến điện thoại bị xâm nhập, để từ đó ghi âm, khởi động lại Wi-Fi hay gỡ cài đặt ứng dụng bất kỳ. Hơn thế nữa, mã độc cũng được trang bị tính năng mới cho phép lén lút thực hiện cuộc gọi bằng cách tạo lớp phủ màn hình đen để che giấu.
“Nghiên cứu của chúng tôi cho thấy nhóm APT-C-23 vẫn đang hoạt động, cải tiến bộ công cụ của mình và thực hiện các hoạt động mới. Android/SpyC32.A - phiên bản phần mềm gián điệp mới nhất của nhóm trở nên nguy hiểm hơn với nạn nhân”, ESET cho biết .
Để tránh nguy cơ nhiễm mã độc, người dùng cần lưu ý tải ứng dụng từ kho chính thống, xem xét kỹ các quyền mà ứng dụng yêu cầu trước khi cài đặt.
“So với các phiên bản được ghi nhận vào năm 2017, Android/SpyC23.A có chức năng gián điệp mở rộng, bao gồm đọc thông báo từ các ứng dụng nhắn tin, ghi âm cuộc gọi và ghi âm màn hình cũng như các tính năng ẩn mới, như loại bỏ thông báo từ các ứng dụng bảo mật mặc định trên Android”, các chuyên gia cho biết.
Được biết đến năm 2017 với biệt danh Bọ cạp hai đuôi (còn gọi là APT-C-23 hoặc Bọ cạp sa mạc), nhóm hacker phát tán phần mềm giám sát có khả năng do thám thiết bị, lấy cắp nhật ký cuộc gọi , danh bạ, vị trí, tin nhắn, ảnh và các tài liệu nhạy cảm khác.
Năm 2018, Symantec đã phát hiện một biến thể mới hơn của chiến dịch, sử dụng trình phát đa phương tiện để thu thập thông tin từ thiết bị và lừa nạn nhân cài đặt thêm phần mềm độc hại.
Đầu năm nay, Check Point Research tiếp tục phát hiện dấu hiệu mới về hoạt động của APT-C-23 khi các hacker này đóng giả các cô gái tuổi teen trên Facebook, Instagram và Telegram để dụ binh sĩ Israel cài đặt các ứng dụng nhiễm mã độc.
Theo các chuyên gia, phiên bản mới nhất của phần mềm gián điệp có khả năng thu thập thông tin từ các ứng dụng nhắn tin và truyền thông xã hội thông qua ghi màn hình và ảnh chụp màn hình, thậm chí ghi lại các cuộc gọi đến và đi trong WhatsApp và đọc thông báo từ ứng dụng mạng xã hội như WhatsApp, Viber, Facebook, Skype và Messenger.
Hacker lừa nạn nhân truy cập vào kho ứng dụng Android giả mạo có tên "DigitalApps" và tải xuống các ứng dụng như Telegram, Threema và weMessage. Việc giả mạo ứng dụng nhắn tin nhằm “hợp thức hóa” yêu cầu người dùng cấp quyền truy cập tin nhắn.
Ngoài yêu cầu đọc thông báo, tắt Google Play Protect và ghi lại màn hình của người dùng dưới vỏ bọc các tính năng bảo mật và quyền riêng tư, mã độc còn giao tiếp với máy chủ C&C để tìm kiếm nạn nhân mới và truyền thông tin thiết bị.
Máy chủ C&C thường giả dạng trang web đang được bảo trì, cũng chịu trách nhiệm chuyển tiếp các lệnh đến điện thoại bị xâm nhập, để từ đó ghi âm, khởi động lại Wi-Fi hay gỡ cài đặt ứng dụng bất kỳ. Hơn thế nữa, mã độc cũng được trang bị tính năng mới cho phép lén lút thực hiện cuộc gọi bằng cách tạo lớp phủ màn hình đen để che giấu.
“Nghiên cứu của chúng tôi cho thấy nhóm APT-C-23 vẫn đang hoạt động, cải tiến bộ công cụ của mình và thực hiện các hoạt động mới. Android/SpyC32.A - phiên bản phần mềm gián điệp mới nhất của nhóm trở nên nguy hiểm hơn với nạn nhân”, ESET cho biết .
Để tránh nguy cơ nhiễm mã độc, người dùng cần lưu ý tải ứng dụng từ kho chính thống, xem xét kỹ các quyền mà ứng dụng yêu cầu trước khi cài đặt.
Theo The Hacker News