WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Italy CERT cảnh báo mã độc mới trên Android đánh cắp thông tin đăng nhập
Các nhà nghiên cứu vừa tiết lộ một dòng mã độc Android mới lạm dụng các dịch vụ hỗ trợ trên thiết bị để chiếm đoạt thông tin đăng nhập của người dùng, ghi trộm âm thanh và video.
Được gọi là "Oscorp", mã độc này "buộc người dùng cài đặt một dịch vụ hỗ trợ (accessibility service) để kẻ tấn công có thể đọc những gì đang có và được gõ trên màn hình".
APK độc hại ("Assistenzaclienti.apk" hoặc " Customer Protection") được phát tán qua miền "supportoapp[.]com". Khi cài đặt, APK yêu cầu quyền xâm nhập để kích hoạt dịch vụ hỗ trợ và thiết lập liên lạc với máy chủ C&C nhằm truy xuất các lệnh bổ sung.
Hơn nữa, mã độc liên tục mở lại màn hình Cài đặt sau mỗi tám giây cho đến khi người dùng bật quyền truy cập vào dịch vụ hỗ trợ và số liệu thống kê sử dụng thiết bị, do đó gây áp lực buộc người dùng phải cấp thêm các đặc quyền.
Sau khi được cấp quyền truy cập, mã độc sẽ khai thác quyền để ghi lại các keystroke, gỡ cài đặt ứng dụng trên thiết bị, thực hiện cuộc gọi, gửi tin nhắn SMS, ăn cắp tiền điện tử bằng cách chuyển hướng các khoản thanh toán được thực hiện qua ứng dụng Ví Blockchain.com và truy cập mã xác thực hai yếu tố từ ứng dụng Google Authenticator.
Các nhà nghiên cứu cho biết ví do kẻ tấn công kiểm soát có 584 đô la vào ngày 9/1.
Trong bước cuối cùng, mã độc gửi dữ liệu thu được - cùng với thông tin hệ thống (như ứng dụng đã cài, kiểu điện thoại, nhà mạng) - đến máy chủ C&C, cùng với việc tìm nạp các lệnh từ máy chủ cho phép khởi chạy ứng dụng Google Authenticator, đánh cắp tin nhắn SMS, gỡ cài đặt ứng dụng, khởi chạy các URL cụ thể và ghi lại âm thanh và video của màn hình thông qua WebRTC.
CERT lưu ý, người dùng mở các ứng dụng mục tiêu sẽ hiển thị một trang lừa đảo yêu cầu nhập tên người dùng và mật khẩu của họ, bổ sung rằng kiểu của màn hình này khác nhau giữa các ứng dụng và rằng nó được thiết kế với mục đích lừa nạn nhân. cung cấp thông tin.
Loại ứng dụng chính xác mà mã độc này nhắm đến vẫn chưa rõ ràng, nhưng các nhà nghiên cứu cho biết đó có thể là bất kỳ ứng dụng nào xử lý dữ liệu nhạy cảm, chẳng hạn như ứng dụng dành cho ngân hàng và nhắn tin.
"Các biện pháp bảo vệ của Android ngăn mã độc thực hiện bất kỳ loại thiệt hại nào cho đến khi người dùng kích hoạt dịch vụ [hỗ trợ]", CERT-AGID kết luận. Trên thực tế, Android luôn có chính sách dễ dãi với các nhà phát triển ứng dụng, để quyết định là tin cậy một ứng dụng hay không cho người dùng cuối.
Được gọi là "Oscorp", mã độc này "buộc người dùng cài đặt một dịch vụ hỗ trợ (accessibility service) để kẻ tấn công có thể đọc những gì đang có và được gõ trên màn hình".
APK độc hại ("Assistenzaclienti.apk" hoặc " Customer Protection") được phát tán qua miền "supportoapp[.]com". Khi cài đặt, APK yêu cầu quyền xâm nhập để kích hoạt dịch vụ hỗ trợ và thiết lập liên lạc với máy chủ C&C nhằm truy xuất các lệnh bổ sung.
Hơn nữa, mã độc liên tục mở lại màn hình Cài đặt sau mỗi tám giây cho đến khi người dùng bật quyền truy cập vào dịch vụ hỗ trợ và số liệu thống kê sử dụng thiết bị, do đó gây áp lực buộc người dùng phải cấp thêm các đặc quyền.
Sau khi được cấp quyền truy cập, mã độc sẽ khai thác quyền để ghi lại các keystroke, gỡ cài đặt ứng dụng trên thiết bị, thực hiện cuộc gọi, gửi tin nhắn SMS, ăn cắp tiền điện tử bằng cách chuyển hướng các khoản thanh toán được thực hiện qua ứng dụng Ví Blockchain.com và truy cập mã xác thực hai yếu tố từ ứng dụng Google Authenticator.
Các nhà nghiên cứu cho biết ví do kẻ tấn công kiểm soát có 584 đô la vào ngày 9/1.
Trong bước cuối cùng, mã độc gửi dữ liệu thu được - cùng với thông tin hệ thống (như ứng dụng đã cài, kiểu điện thoại, nhà mạng) - đến máy chủ C&C, cùng với việc tìm nạp các lệnh từ máy chủ cho phép khởi chạy ứng dụng Google Authenticator, đánh cắp tin nhắn SMS, gỡ cài đặt ứng dụng, khởi chạy các URL cụ thể và ghi lại âm thanh và video của màn hình thông qua WebRTC.
CERT lưu ý, người dùng mở các ứng dụng mục tiêu sẽ hiển thị một trang lừa đảo yêu cầu nhập tên người dùng và mật khẩu của họ, bổ sung rằng kiểu của màn hình này khác nhau giữa các ứng dụng và rằng nó được thiết kế với mục đích lừa nạn nhân. cung cấp thông tin.
Loại ứng dụng chính xác mà mã độc này nhắm đến vẫn chưa rõ ràng, nhưng các nhà nghiên cứu cho biết đó có thể là bất kỳ ứng dụng nào xử lý dữ liệu nhạy cảm, chẳng hạn như ứng dụng dành cho ngân hàng và nhắn tin.
"Các biện pháp bảo vệ của Android ngăn mã độc thực hiện bất kỳ loại thiệt hại nào cho đến khi người dùng kích hoạt dịch vụ [hỗ trợ]", CERT-AGID kết luận. Trên thực tế, Android luôn có chính sách dễ dãi với các nhà phát triển ứng dụng, để quyết định là tin cậy một ứng dụng hay không cho người dùng cuối.
Theo The Hacker News