WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Hacker lợi dụng lỗ hổng zero-day trên Chrome để phát tán trojan Android
Tội phạm mạng phát tán trojan Svpeng đến người dùng Android thông qua Google AdSense và một lỗ hổng zero-day trong phiên bản Android của trình duyệt web Chrome.
Sự tồn tại của trojan Svpeng lần đầu được đưa ra ánh sáng bởi Kaspersky vào tháng 7/2013. Hacker chủ yếu sử dụng mã độc nhắm mục tiêu vào người dùng Android ở Nga, nhưng một số chiến dịch cũng nhắm đến các thiết bị tại Mỹ và các nơi khác.
Năm ngoái, chính quyền Nga bắt giữ hacker tạo ra Svpeng và một số cá nhân khác bị nghi ngờ đã sử dụng trojan này. Tuy nhiên, sau đó, tội phạm mạng vẫn tiếp tục nâng cấp các tính năng của mã độc.
Svpeng có các tính năng như chiếm đặc quyền admin, lừa đảo dữ liệu thẻ thanh toán, chặn và gửi tin nhắn SMS, phát động các cuộc tấn công ransomware và vô hiệu hóa các giải pháp an ninh di động.
Phiên bản mới của trojan cũng bị Kaspersky Lab phát hiện hồi tháng 8, không có bất kỳ tin năng nào của một loại ransomware, được phát tán thông qua các trang web tin tức phổ biến đang sử dụng dịch vụ quảng cáo AdSense của Google.
Google đang từng bước giải quyết vấn đề, tuy nhiên hàng trăm ngàn thiết bị Android bị nhiễm mã độc vẫn chưa được xử lý. Kaspersky Lab phát hiện khoảng 318.000 thiết bị bị lây nhiễm trong khoảng thời gian 2 tháng, với các cuộc tấn công gần đây nhất được phát hiện ngày 19/10.
Theo Kaspersky, vấn đề là Google đang cố gắng xử lý các cuộc tấn công quảng cáo độc hại bằng cách ngăn chặn các quảng cáo này trên mạng AdSense của hãng, thay vì chọn cách xử lý chủ động hơn. Điều này khiến tin tặc vẫn tiếp tục đẩy quảng cáo lên AdSense và một số lượng lớn thiết bị bị lây nhiễm.
Chiến dịch này đang thu hút sự quan tâm của Kaspersky bởi các tập tin APK độc hại được phát tán thông qua các quảng cáo tự động được tải về các thiết bị, mà không có cảnh báo nào cho nạn nhân. Các nhà nghiên cứu nhận định tin tặc đang khai thác một lỗ hổng zero-day trong phiên bản Android của Chrome.
Chrome thường cảnh báo người dùng khi một tập tin có nguy cơ được tải về điện thoại Android của họ và yêu cầu người dùng xác nhận thao tác. Tuy nhiên, tin tặc đã vượt qua cơ chế này bằng cách chia file thành các phần nhỏ hơn.
"Khi một tập tin APK được chia nhỏ thành từng đoạn và phát tán đến tính năng an toàn thông qua tầng Blob (), không thao tác kiểm tra loại nội dung được lưu lại, bởi trình duyệt sẽ lưu các tập tin APK mà không thông báo cho người sử dụng", nhà nghiên cứu giải thích.
Google đã được thông báo về vấn đề và hãng đã xây dựng một bản vá cho lỗ hổng này. Bản vá sẽ được phát hành trong phiên bản Chrome tiếp theo dành cho Android, đó là phiên bản 55. Các trình duyệt khác không bị ảnh hưởng bởi lỗ hổng này.
Kaspersky cho biết mã độc không tự động được cài đặt trên thiết bị sau khi nó được tải về thông qua lỗ hổng của Chrome. Thay vào đó, tin tặc đặt tên các tập tin độc hại là “WhatsApp.apk,” “last-browser-update.apk” hoặc “Android_update_6.apk” với hy vọng lừa người dùng tự cài đặt mã độc.
Các phiên bản mới hơn của Android mặc định chặn việc cài đặt các ứng dụng từ các nguồn không rõ; tuy nhiên, hacker có khả năng tính đến trường hợp một số người dùng sẽ vô hiệu hóa tính năng an ninh này để cài đặt các ứng dụng có thể không có sẵn trong Google Play.
Hãng an ninh cũng lưu ý các cuộc tấn công gần đây nhất được khởi phát chỉ để lây nhiễm điện thoại thông minh của người dùng tại Nga và một số quốc gia thuộc Liên Xô cũ.
Sự tồn tại của trojan Svpeng lần đầu được đưa ra ánh sáng bởi Kaspersky vào tháng 7/2013. Hacker chủ yếu sử dụng mã độc nhắm mục tiêu vào người dùng Android ở Nga, nhưng một số chiến dịch cũng nhắm đến các thiết bị tại Mỹ và các nơi khác.
Năm ngoái, chính quyền Nga bắt giữ hacker tạo ra Svpeng và một số cá nhân khác bị nghi ngờ đã sử dụng trojan này. Tuy nhiên, sau đó, tội phạm mạng vẫn tiếp tục nâng cấp các tính năng của mã độc.
Svpeng có các tính năng như chiếm đặc quyền admin, lừa đảo dữ liệu thẻ thanh toán, chặn và gửi tin nhắn SMS, phát động các cuộc tấn công ransomware và vô hiệu hóa các giải pháp an ninh di động.
Phiên bản mới của trojan cũng bị Kaspersky Lab phát hiện hồi tháng 8, không có bất kỳ tin năng nào của một loại ransomware, được phát tán thông qua các trang web tin tức phổ biến đang sử dụng dịch vụ quảng cáo AdSense của Google.
Google đang từng bước giải quyết vấn đề, tuy nhiên hàng trăm ngàn thiết bị Android bị nhiễm mã độc vẫn chưa được xử lý. Kaspersky Lab phát hiện khoảng 318.000 thiết bị bị lây nhiễm trong khoảng thời gian 2 tháng, với các cuộc tấn công gần đây nhất được phát hiện ngày 19/10.
Theo Kaspersky, vấn đề là Google đang cố gắng xử lý các cuộc tấn công quảng cáo độc hại bằng cách ngăn chặn các quảng cáo này trên mạng AdSense của hãng, thay vì chọn cách xử lý chủ động hơn. Điều này khiến tin tặc vẫn tiếp tục đẩy quảng cáo lên AdSense và một số lượng lớn thiết bị bị lây nhiễm.
Chiến dịch này đang thu hút sự quan tâm của Kaspersky bởi các tập tin APK độc hại được phát tán thông qua các quảng cáo tự động được tải về các thiết bị, mà không có cảnh báo nào cho nạn nhân. Các nhà nghiên cứu nhận định tin tặc đang khai thác một lỗ hổng zero-day trong phiên bản Android của Chrome.
Chrome thường cảnh báo người dùng khi một tập tin có nguy cơ được tải về điện thoại Android của họ và yêu cầu người dùng xác nhận thao tác. Tuy nhiên, tin tặc đã vượt qua cơ chế này bằng cách chia file thành các phần nhỏ hơn.
"Khi một tập tin APK được chia nhỏ thành từng đoạn và phát tán đến tính năng an toàn thông qua tầng Blob (), không thao tác kiểm tra loại nội dung được lưu lại, bởi trình duyệt sẽ lưu các tập tin APK mà không thông báo cho người sử dụng", nhà nghiên cứu giải thích.
Google đã được thông báo về vấn đề và hãng đã xây dựng một bản vá cho lỗ hổng này. Bản vá sẽ được phát hành trong phiên bản Chrome tiếp theo dành cho Android, đó là phiên bản 55. Các trình duyệt khác không bị ảnh hưởng bởi lỗ hổng này.
Kaspersky cho biết mã độc không tự động được cài đặt trên thiết bị sau khi nó được tải về thông qua lỗ hổng của Chrome. Thay vào đó, tin tặc đặt tên các tập tin độc hại là “WhatsApp.apk,” “last-browser-update.apk” hoặc “Android_update_6.apk” với hy vọng lừa người dùng tự cài đặt mã độc.
Các phiên bản mới hơn của Android mặc định chặn việc cài đặt các ứng dụng từ các nguồn không rõ; tuy nhiên, hacker có khả năng tính đến trường hợp một số người dùng sẽ vô hiệu hóa tính năng an ninh này để cài đặt các ứng dụng có thể không có sẵn trong Google Play.
Hãng an ninh cũng lưu ý các cuộc tấn công gần đây nhất được khởi phát chỉ để lây nhiễm điện thoại thông minh của người dùng tại Nga và một số quốc gia thuộc Liên Xô cũ.
Nguồn: Security Week
Chỉnh sửa lần cuối bởi người điều hành: