Phát hiện chiến dịch tấ.n côn.g gián điệp tinh vi trên thiết bị Android
Một chiến dịch tấ.n côn.g tinh vi nhắm vào người dùng thiết bị Android, được cho là khá giống hoạt động của nhóm tin tặc OceanLotus mới được phát hiện.
Được đặt tên là PhantomLance, chiến dịch đã hoạt động từ năm 2015 đến nay với nhiều phiên bản phần mềm gián điệp tinh vi – là những phần mềm dùng để thu thập dữ liệu của nạ.n nhâ.n, cùng các chiến thuật phát tán thông minh – như qua hàng chục ứng dụng trên cửa hàng Google Play chính thức.
Vào tháng 7/2019, một nhóm các nhà nghiên cứu bảo mật đã báo cáo về mẫu phần mềm gián điệp mới được tìm thấy trên Google Play.
Báo cáo đã thu hút sự chú ý của Kaspersky bởi các đặc điểm khác lạ của phần mềm này, với mức độ tinh vi và hoạt động rất khác so với những Trojans thường được tải lên các cửa hàng ứng dụng chính thức.
Thông thường nếu người tạo tìm cách tải ứng dụng độc lại lên cửa hàng ứng dụng chính thức, họ sẽ đầu tư nguồn lực đáng kể để quảng bá ứng dụng nhằm tăng số lượng cài đặt và nạ.n nhâ.n bị tấ.n côn.g.
Nhưng đối với các ứng dụng độc hại mới được phát hiện này lại không như vậy. Dường như các hacker đứng sau mã độc không quan tâm đến việc phát tán hàng loạt.
Video đang HOT
Phần mềm gián điệp trên Google Play được ngụy trang dưới dạng ứng dụng dọn dẹp trình duyệt
Theo các nhà nghiên cứu, đây có thể là dấu hiệu của hoạt động tấ.n côn.g có chủ đích APT. Nghiên cứu bổ sung phát hiện một số phiên bản khác nhau với nhiều mẫu phần mềm độc hại có điểm tương đồng về cách mã hóa.
Chức năng của tất cả các mẫu phần mềm độc hại đều là thu thập thông tin của nạ.n nhâ.n. Mặc dù mục đích của mã độc này về cơ bản không rộng lắm, bao gồm định vị địa lý, nhật ký cuộc gọi, truy cập thông tin liên lạc và SMS, ứng dụng cũng có thể thu thập danh sách các ứng dụng đã cài đặt, thông tin về thiết bị, như kiểu máy và phiên bản hệ điều hành.
Hơn nữa, các tin tặc có thể tải xuống và thực thi các tấ.n côn.g khác nhau, từ đó điều chỉnh cho phù hợp với từng thiết bị tùy vào phiên bản Android và các ứng dụng đã cài đặt. Bằng cách này, tin tặc có thể tránh làm quá tải ứng dụng nhưng vẫn có thể thu thập được những thông tin cần thiết.
Nghiên cứu sâu hơn chỉ ra rằng PhantomLance được phát tán trên nhiều nền tảng và thị trường khác nhau, trong đó có Google Play và APKpure.
Các quốc gia đứng đầu về các vụ tấ.n côn.g bởi PhantomLance
Nhằm tạo sự tin cậy cho ứng dụng, các hacker tạo hồ sơ giả mạo của đơn vị phát triển bằng Github. Ngoài ra để tránh cơ chế lọc từ các nền tảng và thị trường, những phiên bản đầu tiên của ứng dụng được hacker tải lên không chứa bất kỳ mã độc nào. Tuy nhiên, với các bản cập nhật sau này, mã độc đã được tiêm vào ứng dụng để tấ.n côn.g thiết bị.
Theo Kaspersky Security Network, kể từ năm 2016, khoảng 300 nỗ lực lây nhiễm đã được thực hiện trên các thiết bị Android ở những quốc gia như Ấn Độ, Việt Nam, Bangladesh và Indonesia.
Việt Nam là một trong những quốc gia có số vụ tấ.n côn.g hàng đầu. Ngoài ra, một số ứng dụng chứa mã độc được sử dụng trong chiến dịch cũng được đặt tên bằng tiếng Việt.
Các nhà nghiên cứu xác định rằng PhantomLance giống ít nhất 20% so với một trong các chiến dịch tấ.n côn.g thiết bị Android có liên quan đến OceanLotus, một nhóm tin tặc đã hoạt động ít nhất là từ năm 2013 và mục tiêu chủ yếu ở khu vực Đông Nam Á.
Hơn nữa, một số trùng hợp đáng chú ý đã được tìm thấy với các hoạt động trước đây của OceanLotus trên Windows và MacOS. Do đó, các nhà nghiên cứu của Kaspersky khá tin rằng chiến dịch PhantomLance có thể liên quan đến OceanLotus.
Hơn một tỷ thiết bị Android có nguy cơ bị hack
Khoảng 40% thiết bị Android vẫn đang chạy hệ điều hành cũ, không được cập nhật bảo mật từ Google, dẫn đến nguy cơ nhiễm mã độc.
Theo Which?, công ty chuyên về tiêu dùng tại Anh, hiện có hơn 2,5 tỷ thiết bị Android đang hoạt động trên toàn cầu. Tuy nhiên, trung bình cứ 5 thiết bị thì có 2 không được nâng cấp lên phần mềm mới. Hệ điều hành cũ chứa nhiều lỗ hổng bảo mật đã được công khai và có thể bị hacker khai thác dễ dàng.
Hợp tác với AV Comparatives, Which? đã kiểm tra điện thoại cũ của các hãng Samsung, Sony, LG và Motorola. Tất cả máy thử nghiệm đều chứa lỗ hổng và dễ dàng bị tấ.n côn.g bằng phần mềm độc hại Joker và Bluefrag.
Nhiều điện thoại Android cũ vẫn đang được sử dụng.
Công ty này khuyến cáo bất cứ ai đang dùng điện thoại Android từ năm 2012 hoặc cũ hơn nên "đặc biệt lưu ý". Hiện Google không còn cập nhật cho các phiên bản Android từ 2016 trở về trước.
"Một thiết bị không thể cập nhật phần mềm cần được thay thế. Nhiều điện thoại Android đắt đỏ có thời gian sử dụng chỉ vài năm trước khi không được hỗ trợ bảo mật, khiến hàng triệu người dùng có nguy cơ trở thành nạ.n nhâ.n của hacker", Which? nhận định.
Trong khi đó, Google cho biết họ vẫn vá lỗi thường xuyên và liên tục hợp tác với các hãng phần cứng và nhà mạng để đảm bảo người dùng trải nghiệm an toàn trên thiết bị Android. Tuy nhiên, những dự án bảo mật của Google như Project Treble hay Project Mainline chỉ dành cho Android 8, 9 và 10.
Với những điện thoại đã được nâng cấp phần mềm lần cuối từ cách đây hai năm, người dùng nên hạn chế lưu thông tin quan trọng như ảnh cá nhân, dữ liệu thanh toán... Họ cũng cần hạn chế tải ứng dụng từ những nguồn không đáng tin cậy, đồng thời sao lưu dữ liệu thường xuyên để tránh thiệt hại nếu "dính" mã độc tống tiề.n.
Theo vnexpress
Hơn một tỷ điện thoại và máy tính bảng Android dễ bị tin tặc tấ.n côn.g Một tổ chức giám sát tiêu dùng ở Anh đã phát hiện 40% người dùng Android đang sử dụng các phiên bản cũ, vốn không còn nhận được các bản cập nhật bảo mật quan trọng. Hơn 1 tỷ điện thoại Android có khả năng bị tin tặc tấ.n côn.g. (Nguồn: AndroidPIT) Hơn một tỷ điện thoại và máy tính bảng Android dễ...