Ứng dụng độc hại Joker vượt qua cơ chế an ninh trên Play Store để lây lan

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2017, 10/07/20, 05:07 PM.

  1. WhiteHat News #ID:2017

    WhiteHat News #ID:2017 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 272
    Đã được thích: 93
    Điểm thành tích:
    28
    Các nhà nghiên cứu an ninh mạng vừa gỡ một malware Android ẩn dưới vỏ bọc của các ứng dụng hợp pháp nhằm âm thầm đăng ký các dịch vụ mà người dùng không hề hay biết.
    android-mobile-virus.jpg
    Trong báo cáo của hãng Check Point, phần mềm độc hại có tên Joker (hay còn gọi Bread) đã tìm được cách qua mặt cơ chế bảo vệ trên Play Store của Google: che giấu file thực thi DEX độc hại trong các ứng dụng thành các chuỗi mã hóa Base64, sau đó các chuỗi này sẽ được giải mã và tải lên thiết bị bị lây nhiễm.

    Theo hãng Check Point, 11 ứng dụng (danh sách ở đây) đã được Google xóa khỏi Play Store vào ngày 30/4/2020.

    "Malware Joker rất khó bị phát hiện dù Google đã nỗ lực tăng cường các biện pháp bảo vệ trên Play Store. Google đã gỡ các ứng dụng độc hại khỏi Play Store, nhưng không tránh khỏi việc Joker sẽ thay đổi để thích nghi với cơ chế bảo vệ mới", chuyên gia Aviran Hazum của hãng Check Point, người xác định phương thức ẩn náu mới của malware Joker cho biết.

    Joker: Malware lừa đảo thanh toán phổ biến

    Được phát hiện lần đầu tiên vào năm 2017, Joker là một trong những malware Android phổ biến nhất và được biết đến với việc thực hiện lừa đảo thanh toán cũng như khả năng gián điệp bao gồm ăn cắp tin nhắn SMS, danh bạ và thông tin thiết bị.

    Các chiến dịch liên quan đến Joker đã đạt được nhiều thành công hơn vào năm ngoái. Các hãng bảo mật CSIS Security Group, Trend Micro, Dr.Web và Kaspersky đã phát hiện các ứng dụng Android nhiễm malware này khi liên tục khai thác các lỗ hổng trong việc kiểm tra an ninh của Play Store.

    Để che giấu, tác giả malware Joker đã sử dụng nhiều phương pháp như mã hóa để ẩn chuỗi trước các công cụ phân tích, tạo các đánh giá giả mạo để dụ người dùng tải ứng dụng và một kỹ thuật gọi là versioning (đầu tiên kẻ này tải phiên bản “sạch” của ứng dụng lên Play Store để người dùng tin tưởng, sau đó âm thầm thêm mã độc thông qua các bản cập nhật ứng dụng).

    Tính đến tháng 1/2020, Google đã gỡ hơn 1.700 ứng dụng nhiễm malware này trên Play Store hơn ba năm qua

    Sử dụng file manifest để ẩn file DEX độc hại
    joker-mobile-malware.jpg
    Theo Check Point, biến thể mới được phát hiện tìm cách vượt qua lỗ hổng trong cơ chế bảo vệ của Play Store bằng cách lợi dụng file manifest (file kê khai) của ứng dụng để tải file DEX đã được mã hóa Base64.

    Phiên bản thứ hai mà Check Point tìm thấy sử dụng kỹ thuật tương tự để ẩn file .dex dưới dạng chuỗi Base64 nhưng bổ sung một lớp (class) bên trong trong ứng dụng chính và tải lên thông qua các reflection API.
    joker-mobile-malware (1).jpg
    Bên cạnh đó, biến thể đi kèm một tính năng mới cho phép hacker phát hành từ xa mã trạng thái "sai" từ máy chủ C&C dưới sự kiểm soát của chúng để ngừng các hoạt động độc hại.

    Người dùng đã cài đặt bất kỳ ứng dụng nào bị lây nhiễm trên được khuyến cáo nên kiểm tra lịch sử giao dịch và điện thoại có bất kỳ khoản thanh toán đáng ngờ nào hay không. Ngoài ra, người dùng cũng nên kiểm tra chi tiết các quyền đã cấp cho tất cả ứng dụng cài đặt trên thiết bị Android.

    Theo The Hacker News
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan