Cảnh báo lừa đảo phát tán mã độc chiếm quyền điều khiển trên Android tại Việt Nam

Sugi_b3o

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
317
446 bài viết
Cảnh báo lừa đảo phát tán mã độc chiếm quyền điều khiển trên Android tại Việt Nam
Sugi_b3o
Gần đây, các chiến dịch phát tán mã độc và lừa đảo trên không gian mạng càng tăng cao, dưới các hình thức lừa đảo tinh vi kết hợp với kỹ thuật Social Engineering làm các nạn nhân dễ bị tin theo và thực hiện theo lời những kẻ lừa đảo nhằm chiếm đoạt tài khoản ngân hàng, tài chính.

amdroid.png

Dropper-as-a-Service là gì? (DaaS)

Để hiểu về Dropper-as-a-Service, trước tiên ta phải hiểu Dropper là gì? Nó một chương trình độc hại được thiết kế để cung cấp và phát tán phần mềm độc hại cho các hệ thống mục tiêu và không thực hiện các chức năng độc hại - nó phục vụ để cài đặt các chương trình độc hại - phát tán dễ dàng - mà thiết bị mục tiêu sẽ chặn lại. Dropper ngăn chặn phát hiện phần mềm độc hại ở giai đoạn tải xuống và vô hiệu hóa các phòng thủ của hệ thống trước khi cài đặt các mã độc nhằm toàn quyền điều khiển thiết bị của nạn nhân. Dropper thường chứa nhiều công cụ độc hại cũng như các tệp vô hại để che giấu việc cài đặt phần mềm độc hại được diễn ra một cách âm thầm.
1700547243312.png

1700547323110.png

Dropper-as-a-Service là nơi cung cấp dịch vụ cho các tin tặc không cần biết nhiều về kỹ năng để thực hiện việc đánh cắp thông tin đăng nhập hàng loạt với chi phí thấp nhất là 2 đô la cho 1.000 cài đặt phần mềm độc hại. Khách hàng trả tiền để phần mềm độc hại của họ được phân phối đến các mục tiêu qua droppers. DaaS thường sử dụng một mạng lưới các trang web / domain giả mạo để phân phối droppers vào hệ thống của mục tiêu, khi chạy, cài đặt và thực thi phần mềm độc hại của khách hàng. Hacker sẽ kiếm lợi nhuận bằng cách âm thầm theo dõi các thông tin tài khoản, ngân hàng, để thực hiện chuyển hết tiền với chỉ cần một lần tải xuống duy nhất.

1700144362559.png

Bảo mật trên các thiết bị Android

Nhóm tin tặc APT41 chủ yếu nổi tiếng với việc khai thác các ứng dụng trên web và xâm nhập vào các thiết bị cuối truyền thống, nhưng các trường hợp mà nhóm này khai thác các nền tảng di động là hiếm và ít được biết đến lại là tác giả phần mềm gián điệp Android có tên là WyrmSpy và DragonEgg. Nhóm này được cho là đứng sau các chiến dịch phân phối dịch vụ Dropper-as-a-Service này.

1700142656462.png


Google đã giới thiệu một tính năng bảo mật trong Android 13 được gọi là “Restricted Settings”. Tính năng này , ngăn chặn các ứng dụng đến từ bên ngoài Google Play truy cập vào trợ năng 'Accessibility' và ‘Notification Listener’., thường bị khai thác bởi các Trojan ngân hàng. Nếu phát hiện ứng dụng yêu cầu các quyền này, Restricted Settings sẽ lập tức cảnh báo, ngăn chặn khiến người dùng không thể cấp các quyền này cho ứng dụng
1700145076596.png

Tuy nhiên, kỹ thuật mới được các tin tặc áp dụng trong SecuriDropper sẽ chia nhỏ gói cài đặt thành nhiều bước và vượt qua được cơ chế kiểm tra của Google trên chính Android 13. Thông thường, dropper ẩn mình dưới hình dạng của một ứng dụng trông vô hại.
  • Đầu tiên, một phần mềm giả mạo - không đòi quyền 'Accessibility' và ‘Notification Listener’ - sẽ được lừa để cài vào máy nạn nhân.Cụ thể, điều này bao gồm việc yêu cầu quyền đọc và ghi dữ liệu vào bộ nhớ lưu trữ ngoại vi (READ_EXTERNAL_STORAGE và WRITE_EXTERNAL_STORAGE), cũng như quyền cài đặt và xóa các gói ứng dụng (REQUEST_INSTALL_PACKAGES và DELETE_PACKAGES).
  • Ở giai đoạn thứ hai, phần mềm này sẽ gọi các API của Android để giả mạo một phiên cài đặt của Google Play, bằng cách thuyết phục nạn nhân nhấp vào nút "Cài đặt lại" trên ứng dụng để khắc phục lỗi cài đặt được hiển thị giúp nó có thể cài mã độc lên điện thoại và vượt qua được chức năng Restricted Settings. Mã độc lúc này có thể lấy được các quyền Accessibility và Notification Listener mà không bị hệ điều hành phát hiện và ngăn chặn. Mục tiêu chính của SecuriDropper là vượt qua rào cản này một cách âm thầm, tránh bị phát hiện.

1700144432580.png

Nguồn Viettel blog
Một số biến thể đánh lừa của phương pháp này đã được phát hiện dưới tên trông khá uy tín
1700145115323.png
  • com.appd.instll.load (Google)
  • com.appd.instll.load (Google Chrome)
Việc vượt qua được cơ chế bảo vệ ở Android 13 và thậm chí Android 14 vừa ra mắt hồi tháng 10 khiến khả năng người dùng bị tấn công là rất lớn. Quyền trợ năng (Accessibility) là quyền đã được hàng loạt các mã độc giả mạo app của Tổng cục Thuế, Chính phủ, Tờ khai… sử dụng để chiếm quyền điện thoại, chiếm đoạt tiền của người dùng tại Việt Nam trong thời gian qua. Dự báo các kiểu lừa đảo sẽ tiếp tục phát triển mạnh để kiếm lợi nhuận vào cuối năm 2023.
1700144452683.png

Nguồn Viettel blog​

Tự bảo vệ chính mình

  • Người dùng Android được khuyến nghị nên không xuống file APK bên ngoài ChPlay từ các nguồn không chính thống
  • Tắt quyền trợ năng Accessibility trên thiết bị
  • Khi thấy điện thoại có các hành vi bất thường như treo , tự login vào các app tài chính, ngân hàng nên tìm cách ngắt kết nối với internet và liên hệ đến tổ chức ngân hàng để khóa tài khoản ngay lập tức
  • Cài đặt các phần mềm Antivirus để có thêm một lớp bảo vệ
  • Tự cập nhật các thông tin, nâng cao nhận thức về các hình thức lừa đảo.
Tham khảo blog.viettelcybersecurity, thehackernews
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cảnh báo: Máy chủ cập nhật phần mềm ASUS bị hack để phát tán mã độc
  • Cảnh báo tấn công Phishing lấy cắp password Apple ID
  • 8 dấu hiệu cảnh báo cho thấy máy tính đã bị can thiệp
  • Cảnh báo: Đừng cài đặt Super Mario Run vì đó là malware
  • Cảnh báo mã độc Ransomware Locky phát tán qua file có định dạng *.xls
  • Cảnh báo virus mã hóa Locky Ransomware phát tán qua tin nhắn hình ảnh Facebook
    • Thẻ
    android app giả mạo giả mạo mã độc malware tổng cục thuế
    Bên trên