WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Phần mềm gián điệp TikTok Pro lợi dụng lệnh cấm TikTok tại Mỹ để phát tán
Mới đây, các nhà nghiên cứu phát hiện một chiến dịch phần mềm gián điệp Android mới giả danh phiên bản Pro của TikTok. Chiến dịch nhắm mục tiêu vào nỗi sợ hãi của những người dùng trẻ tuổi và cả tin tại Mỹ trong bối cảnh TikTok sắp bị cấm tại nước này. TikTok Pro có thể chiếm quyền điều khiển các chức năng thông thường trên thiết bị như chụp ảnh, đọc và gửi tin nhắn SMS, thực hiện cuộc gọi và khởi chạy ứng dụng cũng như sử dụng kỹ thuật lừa đảo để lấy cắp thông tin đăng nhập Facebook của nạn nhân.
Theo nhà nghiên cứu Shivang Desai của công ty an ninh mạng Zscaler, để phát tán ứng dụng giả mạo TikTok Pro, hacker tận dụng các tin nhắn SMS và WhatsApp để dụ người dùng tải xuống phiên bản mới nhất của ứng dụng từ một địa chỉ web cụ thể.
Trong giai đoạn đầu tiên của chiến dịch, kẻ xấu phát tán ứng dụng giả mạo chứa phần mềm độc hại có tên TikTok Pro. Phần mềm này sẽ yêu cầu các quyền trên Android, bao gồm quyền truy cập máy ảnh và chức năng gọi điện, khiến người dùng bị làm phiền bởi các quảng cáo liên tục xuất hiện.
Giai đoạn tiếp theo được tăng cấp độ nhờ một ứng dụng hoàn toàn mới với các tính năng cao cấp giúp theo dõi nạn nhân một cách dễ dàng”, Desai cho hay.
Sau khi được cài đặt và khởi chạy, TikTok Pro sẽ hiển thị một thông báo giả. “Thông báo giả mạo này được sử dụng nhằm chuyển hướng sự chú ý của người dùng, cùng lúc ứng dụng sẽ tự ẩn mình, khiến người dùng tin rằng ứng dụng bị lỗi”, Desai nói.
TikTok Pro cũng có khả năng chống bị phát hiện nhờ một đoạn mã được lưu trữ trong thư mục /res/raw/, “một kỹ thuật phổ biến được các hacker phát triển phần mềm độc hại sử dụng để gói đoạn mã chính bên trong gói Android”, Desai viết. Đoạn mã chỉ là một mồi nhử chứ không thật sự sở hữu chức năng ứng dụng thực tế.
Khả năng thực thi chính của TikTok Pro đến từ một dịch vụ Android có tên là MainService, hoạt động như "bộ não" của phần mềm gián điệp và kiểm soát các chức năng của nó, từ đánh cắp dữ liệu của nạn nhân đến xóa dữ liệu.
Ngoài việc giành quyền truy cập đến ác chức năng thông thường của điện thoại thông minh như chụp ảnh, gửi tin nhắn SMS, thực hiện lệnh, chụp ảnh màn hình, gọi điện thoại và khởi chạy các ứng dụng khác trên thiết bị, TikTok Pro có một tính năng độc đáo giúp đánh cắp Thông tin đăng nhập Facebook.
Tương tự như các chiến dịch lừa đảo khác, TikTok Pro khởi chạy một trang đăng nhập Facebook giả mạo. Sau đó, ngay sau khi nạn nhân đăng nhập, trang sẽ lưu trữ thông tin đăng nhập của nạn nhân vào /storage/0/DCIM/.fdat. Lệnh bổ sung IODBSSUEEZ sau đó sẽ gửi thông tin đăng nhập bị đánh cắp đến máy chủ C&C của phần mềm độc hại.
Desai lưu ý rằng các kỹ thuật tấn công lừa đảo này có thể được nâng cấp nhằm đánh cắp thông tin đăng nhập quan trọng khác của người dùng, như tài khoản ngân hàng hoặc dữ liệu đăng nhập tài chính.
Việc hacker chọn thương hiệu TikTok để phát tán phần mềm độc hại có lẽ bắt nguồn từ những tranh cãi liên quan đến ứng dụng chia sẻ video phổ biến này.
Tổng thống Trump đe dọa sẽ cấm ứng dụng này ở Mỹ và một số doanh nghiệp bao gồm Microsoft và Wal-Mart, những công ty đang để mắt đến việc mua lại ứng dụng này. Gần đây, Ấn Độ cũng đã cấm TikTok cùng nhiều ứng dụng khác từ Trung Quốc.
“Những người dùng muốn sử dụng TikTok khi bị cấm có thể tìm đến các biện pháp thay thế để tải ứng dụng. Làm như vậy, người dùng có thể cài đặt nhầm phải các ứng dụng độc hại, như phần mềm gián điệp TikTok Pro”, Desai cho hay.
Desai khuyến cáo người dùng Android không click vào những đường link không xác thực nhận được trong SMS hay tin nhắn và chỉ cài đặt ứng dụng từ các kho chính thống như Google Play để tránh trở thành nạn nhân của chiến dịch spyware mới.
Để giảm thiểu rủi ro, người dùng có thể vô hiệu hóa “Unknown Sources” trong thiết bị Android, giúp ngăn chặn thiết bị cài đặt ứng dụng từ các nguồn không xác định.
Để kiểm tra xem phần mềm gián điệp mới có đang chạy mà không bị phát hiện trên thiết bị Android hay không, người dùng có thể tìm kiếm ứng dụng trong mục cài đặt thiết bị theo các bước: Cài đặt -> Ứng dụng -> Tìm kiếm biểu tượng bị ẩn và tìm kiếm TikTok Pro.
Theo nhà nghiên cứu Shivang Desai của công ty an ninh mạng Zscaler, để phát tán ứng dụng giả mạo TikTok Pro, hacker tận dụng các tin nhắn SMS và WhatsApp để dụ người dùng tải xuống phiên bản mới nhất của ứng dụng từ một địa chỉ web cụ thể.
Trong giai đoạn đầu tiên của chiến dịch, kẻ xấu phát tán ứng dụng giả mạo chứa phần mềm độc hại có tên TikTok Pro. Phần mềm này sẽ yêu cầu các quyền trên Android, bao gồm quyền truy cập máy ảnh và chức năng gọi điện, khiến người dùng bị làm phiền bởi các quảng cáo liên tục xuất hiện.
Giai đoạn tiếp theo được tăng cấp độ nhờ một ứng dụng hoàn toàn mới với các tính năng cao cấp giúp theo dõi nạn nhân một cách dễ dàng”, Desai cho hay.
Sau khi được cài đặt và khởi chạy, TikTok Pro sẽ hiển thị một thông báo giả. “Thông báo giả mạo này được sử dụng nhằm chuyển hướng sự chú ý của người dùng, cùng lúc ứng dụng sẽ tự ẩn mình, khiến người dùng tin rằng ứng dụng bị lỗi”, Desai nói.
TikTok Pro cũng có khả năng chống bị phát hiện nhờ một đoạn mã được lưu trữ trong thư mục /res/raw/, “một kỹ thuật phổ biến được các hacker phát triển phần mềm độc hại sử dụng để gói đoạn mã chính bên trong gói Android”, Desai viết. Đoạn mã chỉ là một mồi nhử chứ không thật sự sở hữu chức năng ứng dụng thực tế.
Khả năng thực thi chính của TikTok Pro đến từ một dịch vụ Android có tên là MainService, hoạt động như "bộ não" của phần mềm gián điệp và kiểm soát các chức năng của nó, từ đánh cắp dữ liệu của nạn nhân đến xóa dữ liệu.
Ngoài việc giành quyền truy cập đến ác chức năng thông thường của điện thoại thông minh như chụp ảnh, gửi tin nhắn SMS, thực hiện lệnh, chụp ảnh màn hình, gọi điện thoại và khởi chạy các ứng dụng khác trên thiết bị, TikTok Pro có một tính năng độc đáo giúp đánh cắp Thông tin đăng nhập Facebook.
Tương tự như các chiến dịch lừa đảo khác, TikTok Pro khởi chạy một trang đăng nhập Facebook giả mạo. Sau đó, ngay sau khi nạn nhân đăng nhập, trang sẽ lưu trữ thông tin đăng nhập của nạn nhân vào /storage/0/DCIM/.fdat. Lệnh bổ sung IODBSSUEEZ sau đó sẽ gửi thông tin đăng nhập bị đánh cắp đến máy chủ C&C của phần mềm độc hại.
Desai lưu ý rằng các kỹ thuật tấn công lừa đảo này có thể được nâng cấp nhằm đánh cắp thông tin đăng nhập quan trọng khác của người dùng, như tài khoản ngân hàng hoặc dữ liệu đăng nhập tài chính.
Việc hacker chọn thương hiệu TikTok để phát tán phần mềm độc hại có lẽ bắt nguồn từ những tranh cãi liên quan đến ứng dụng chia sẻ video phổ biến này.
Tổng thống Trump đe dọa sẽ cấm ứng dụng này ở Mỹ và một số doanh nghiệp bao gồm Microsoft và Wal-Mart, những công ty đang để mắt đến việc mua lại ứng dụng này. Gần đây, Ấn Độ cũng đã cấm TikTok cùng nhiều ứng dụng khác từ Trung Quốc.
“Những người dùng muốn sử dụng TikTok khi bị cấm có thể tìm đến các biện pháp thay thế để tải ứng dụng. Làm như vậy, người dùng có thể cài đặt nhầm phải các ứng dụng độc hại, như phần mềm gián điệp TikTok Pro”, Desai cho hay.
Desai khuyến cáo người dùng Android không click vào những đường link không xác thực nhận được trong SMS hay tin nhắn và chỉ cài đặt ứng dụng từ các kho chính thống như Google Play để tránh trở thành nạn nhân của chiến dịch spyware mới.
Để giảm thiểu rủi ro, người dùng có thể vô hiệu hóa “Unknown Sources” trong thiết bị Android, giúp ngăn chặn thiết bị cài đặt ứng dụng từ các nguồn không xác định.
Để kiểm tra xem phần mềm gián điệp mới có đang chạy mà không bị phát hiện trên thiết bị Android hay không, người dùng có thể tìm kiếm ứng dụng trong mục cài đặt thiết bị theo các bước: Cài đặt -> Ứng dụng -> Tìm kiếm biểu tượng bị ẩn và tìm kiếm TikTok Pro.
Nguồn: Threatpost