Cảnh báo về MRAT lấy cắp dữ liệu, chiếm quyền thiết bị Android

Ginny Hà

Ginny Hà

VIP Members
04/06/2014
88
689 bài viết
Cảnh báo về MRAT lấy cắp dữ liệu, chiếm quyền thiết bị Android
Ginny Hà

Các nhà nghiên cứu đưa ra cảnh báo về trojan truy cập từ xa trên di động (MRAT) mới được phát hiện gần đây có thể kiểm soát các thiết bị Android và lấy cắp dữ liệu người dùng.

Trojan được đặt tên là Rogue, phát triển bởi Triangulum và HeXaGoN Dev, những kẻ từng được biết đến trước đây với vai trò người bán các sản phẩm độc hại trên chợ đen.

trojan.jpg

Triangulum lần đầu tiên chia sẻ một MRAT trên một diễn đàn web hồi tháng 6/2017. Trojan này không chỉ lấy cắp dữ liệu mà còn có thể phá hủy dữ liệu nội bộ, thậm chí xóa cả hệ điều hành.

Vài tháng sau đó, Triangulum bắt đầu bán phần mềm độc hại và thêm một mã độc khác vào kho “sản phẩm” của mình sau một năm. Kể từ đó, Triangulum có thể đã xây dựng một “dây chuyền sản xuất và phân phối phần mềm độc hại”, theo các chuyên gia.

Đối với sự phát triển của Rogue, tác giả phần mềm độc hại có thể đã hợp tác với HexaGoN Dev, người chuyên xây dựng các RAT trên Android. Trước đây, Triangulum mua các dự án từ NexaGoN Dev.

Sự kết hợp giữa kỹ năng lập trình của HeXaGon Dev và kỹ năng tiếp thị xã hội của Triangulum rõ ràng là một mối nguy cơ”, các chuyên gia nhận định.

Sau khi xâm nhập thiết bị và có được các quyền cần thiết, Rogue RAT sẽ che giấu icon của nó để người dùng không phát hiện và xóa đi. Phần mềm độc hại liên tục yêu cầu các quyền cho đến khi được người dùng chấp nhận.

Rough cũng leo quyền quản trị viên thiết bị và đe dọa xóa tất cả dữ liệu nếu người dùng cố gắng thu hồi quyền quản trị của nó, bằng cách hiển thị thông báo sau trên màn hình: “Bạn có chắc chắn xóa tất cả dữ liệu không?”

Để che giấu hành vi, Rogue sử dụng nền tảng Firebase của Google, giả dạng là một dịch vụ hợp pháp của Google. Các dịch vụ Firebase đóng vai trò máy chủ C&C. Tất cả các lệnh và quá trình lọc dữ liệu đều được thực hiện bằng cơ sở hạ tầng của Firebase.

Trong số hàng chục dịch vụ do Google Firebase cung cấp cho các nhà phát triển ứng dụng, Rogue sử dụng “Cloud Messaging” để nhận lệnh, “Realtime Database” để tải lên dữ liệu và “Cloud Firestore” để tải tệp lên.

Rogue là một ví dụ về cách các thiết bị di động có thể bị khai thác. Tương tự như Triangulum, nhiều kẻ xấu khác cũng đang xây dựng và bán phần mềm độc hại di động trên Web đen. Vì vậy chúng ta cần cảnh giác với các mối đe dọa mới”, các chuyên gia kết luận.

Theo Security Week
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cảnh báo: Lỗ hổng zero-day 10 điểm trong hệ điều hành tường lửa PAN-OS
  • Cảnh báo backdoor trong công cụ XZ được sử dụng hầu hết ở các bản phân phối Linux
  • Cảnh báo lỗ hổng nghiêm trọng chưa được vá trong Camera Uniview ISC
  • Dell cảnh báo khẩn cấp về nhiều lỗ hổng nghiêm trọng trong sản phẩm của hãng
  • Cảnh báo: Lỗ hổng trong Microsoft Outlook cho phép đánh cắp thông tin đăng nhập
  • Cảnh báo: Lỗ hổng vượt qua xác thực ảnh hưởng đến các sản phẩm của Ivanti
    • Bên trên