WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Ứng dụng Netflix giả mạo lừa người dùng Android cài đặt mã độc
Các nhà nghiên cứu đã phát hiện thêm một mã độc dạng worm trên Android, có thể tải xuống trực tiếp từ Google Play Store và có khả năng lây lan qua tin nhắn WhatsApp.
Núp bóng ứng dụng Netflix giả mạo với tên gọi “FlixOnline”, mã độc này có thể tự động trả lời các tin nhắn WhatsApp đến của nạn nhân với một payload nhận được từ máy chủ C&C.
“Ứng dụng được thiết kế để theo dõi các thông báo WhatsApp của người dùng và gửi trả lời tự động cho các tin nhắn đến bằng nội dung nhận được từ máy chủ C&C từ xa”, các nhà nghiên cứu của Check Point cho biết.
Bên cạnh việc giả mạo Netflix, “FlixOnline” độc hại cũng yêu cầu quyền xâm nhập cho phép nó tạo màn hình Đăng nhập giả cho các ứng dụng khác, mục tiêu là đánh cắp thông tin đăng nhập và giành quyền truy cập vào tất cả các thông báo nhận được trên thiết bị, từ đó ẩn Thông báo WhatsApp và tự động trả lời bằng payload nhận được từ máy chủ C&C.
“Kỹ thuật của mã độc này khá mới và sáng tạo. Nó chiếm quyền kết nối với WhatsApp bằng cách bắt thông báo, cùng khả năng thực hiện các hành động được xác định trước, như 'loại bỏ' hoặc 'trả lời' qua Trình quản lý thông báo”.
Lây nhiễm thành công có thể cho phép mã độc lây lan sâu hơn qua các liên kết độc hại, lấy cắp dữ liệu từ tài khoản WhatsApp của người dùng, phát tán thông điệp độc hại đến các nhóm và liên hệ WhatsApp của người dùng, thậm chí tống tiền người dùng bằng cách đe dọa làm rò rỉ dữ liệu hoặc cuộc trò chuyện WhatsApp nhạy cảm.
Ứng dụng đã bị xóa khỏi Play Store sau khi đã có 500 lượt tải xuống trong vòng hai tháng.
FlixOnline là ứng dụng độc hại thứ hai bị phát hiện sử dụng WhatsApp để phát tán mã độc. Vào tháng 1/2021, nhà nghiên cứu Lukas Stefanko của ESET đã tiết lộ một ứng dụng Huawei Mobile giả mạo sử dụng phương thức tương tự để thực hiện tấn công dạng worm.
“Người dùng nên cảnh giác với các liên kết tải xuống hoặc tệp đính kèm nhận được qua WhatsApp hoặc các ứng dụng nhắn tin khác, ngay cả khi chúng đến từ các liên hệ hoặc nhóm đáng tin cậy”.
Núp bóng ứng dụng Netflix giả mạo với tên gọi “FlixOnline”, mã độc này có thể tự động trả lời các tin nhắn WhatsApp đến của nạn nhân với một payload nhận được từ máy chủ C&C.
“Ứng dụng được thiết kế để theo dõi các thông báo WhatsApp của người dùng và gửi trả lời tự động cho các tin nhắn đến bằng nội dung nhận được từ máy chủ C&C từ xa”, các nhà nghiên cứu của Check Point cho biết.
Bên cạnh việc giả mạo Netflix, “FlixOnline” độc hại cũng yêu cầu quyền xâm nhập cho phép nó tạo màn hình Đăng nhập giả cho các ứng dụng khác, mục tiêu là đánh cắp thông tin đăng nhập và giành quyền truy cập vào tất cả các thông báo nhận được trên thiết bị, từ đó ẩn Thông báo WhatsApp và tự động trả lời bằng payload nhận được từ máy chủ C&C.
“Kỹ thuật của mã độc này khá mới và sáng tạo. Nó chiếm quyền kết nối với WhatsApp bằng cách bắt thông báo, cùng khả năng thực hiện các hành động được xác định trước, như 'loại bỏ' hoặc 'trả lời' qua Trình quản lý thông báo”.
Lây nhiễm thành công có thể cho phép mã độc lây lan sâu hơn qua các liên kết độc hại, lấy cắp dữ liệu từ tài khoản WhatsApp của người dùng, phát tán thông điệp độc hại đến các nhóm và liên hệ WhatsApp của người dùng, thậm chí tống tiền người dùng bằng cách đe dọa làm rò rỉ dữ liệu hoặc cuộc trò chuyện WhatsApp nhạy cảm.
Ứng dụng đã bị xóa khỏi Play Store sau khi đã có 500 lượt tải xuống trong vòng hai tháng.
FlixOnline là ứng dụng độc hại thứ hai bị phát hiện sử dụng WhatsApp để phát tán mã độc. Vào tháng 1/2021, nhà nghiên cứu Lukas Stefanko của ESET đã tiết lộ một ứng dụng Huawei Mobile giả mạo sử dụng phương thức tương tự để thực hiện tấn công dạng worm.
“Người dùng nên cảnh giác với các liên kết tải xuống hoặc tệp đính kèm nhận được qua WhatsApp hoặc các ứng dụng nhắn tin khác, ngay cả khi chúng đến từ các liên hệ hoặc nhóm đáng tin cậy”.
Theo The Hacker News