WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
CIA dùng malware HighRise để chặn và chuyển hướng tin nhắn SMS
WikiLeaks gần đây công bố tài liệu mô tả một công cụ có thể đã được Cơ quan Tình báo Trung ương Mỹ (CIA) sử dụng để chặn và chuyển hướng các tin nhắn SMS trên điện thoại chạy Android.
Malware có tên HighRise này “ngụy trang” thành ứng dụng TideCheck và chỉ hoạt động trên các Android từ version 4.0 đến 4.3.
Theo các nhà phát triển ứng dụng, công cụ này phải được tải về, cài đặt và kích hoạt thủ công trên thiết bị được nhắm tới - hay nói cách khác kẻ tấn công cần có quyền truy cập vật lý vào điện thoại hoặc lừa chính chủ nhân điện thoại cài đặt nó.
Kịch bản thứ hai ít có khả năng xảy ra hơn là kích hoạt ứng dụng yêu cầu người dùng mở TideCheck, nhập mật khẩu “inshallah” (tiếng Ả Rập, nghĩa là “Chúa phù hộ”) và chọn "Khởi tạo" từ menu. Tài liệu của WikiLeaks cũng cho thấy ứng dụng sẽ tự động chạy ẩn sau khi khởi động lại một khi đã được kích hoạt thủ công.
HighRise có thể được sử dụng để chuyển các tin nhắn từ hộp thư đến của điện thoại đã bị chiếm quyền tới 1 server từ xa. Malware này cũng có chức năng gửi tin nhắn đến máy chủ thông qua một kênh truyền thông an toàn.
Trang Hacker News cho biết HighRise thực sự đã được cài trên điện thoại của nhân viên CIA và chuyển tin nhắn từ các smartphone bị nhiễm malware đến các máy chủ của cơ quan này. Trang này khẳng định rất khó tìm được dấu vết của các máy chủ CIA.
Tài liệu của WikiLeaks mô tả HighRise version 2.0 được cập nhật từ tháng 12/2013. Google đã thực hiện rất nhiều biện pháp nhằm cải thiện tính an toàn của hệ điều hành Android từ version 4 - phiên bản mới nhất là Android 7 Nougat - và nếu được cập nhật bản vá, người dùng có thể tránh được HighRise.
Tuy nhiên, có thể CIA vẫn đang khai thác thành công malware này hoặc các dự án tương tự khác khi HighRise đòi hỏi một số lượng lớn tương tác từ người dùng và trong thực tế tội phạm mạng vẫn không ngừng khai thác các lỗ hổng và tạo các malware trên Android để kiếm lợi nhuận.
Theo các nhà phát triển ứng dụng, công cụ này phải được tải về, cài đặt và kích hoạt thủ công trên thiết bị được nhắm tới - hay nói cách khác kẻ tấn công cần có quyền truy cập vật lý vào điện thoại hoặc lừa chính chủ nhân điện thoại cài đặt nó.
Kịch bản thứ hai ít có khả năng xảy ra hơn là kích hoạt ứng dụng yêu cầu người dùng mở TideCheck, nhập mật khẩu “inshallah” (tiếng Ả Rập, nghĩa là “Chúa phù hộ”) và chọn "Khởi tạo" từ menu. Tài liệu của WikiLeaks cũng cho thấy ứng dụng sẽ tự động chạy ẩn sau khi khởi động lại một khi đã được kích hoạt thủ công.
HighRise có thể được sử dụng để chuyển các tin nhắn từ hộp thư đến của điện thoại đã bị chiếm quyền tới 1 server từ xa. Malware này cũng có chức năng gửi tin nhắn đến máy chủ thông qua một kênh truyền thông an toàn.
Trang Hacker News cho biết HighRise thực sự đã được cài trên điện thoại của nhân viên CIA và chuyển tin nhắn từ các smartphone bị nhiễm malware đến các máy chủ của cơ quan này. Trang này khẳng định rất khó tìm được dấu vết của các máy chủ CIA.
Tài liệu của WikiLeaks mô tả HighRise version 2.0 được cập nhật từ tháng 12/2013. Google đã thực hiện rất nhiều biện pháp nhằm cải thiện tính an toàn của hệ điều hành Android từ version 4 - phiên bản mới nhất là Android 7 Nougat - và nếu được cập nhật bản vá, người dùng có thể tránh được HighRise.
Tuy nhiên, có thể CIA vẫn đang khai thác thành công malware này hoặc các dự án tương tự khác khi HighRise đòi hỏi một số lượng lớn tương tác từ người dùng và trong thực tế tội phạm mạng vẫn không ngừng khai thác các lỗ hổng và tạo các malware trên Android để kiếm lợi nhuận.
Theo Securityweek