Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện thêm một mã độc Android núp bóng dưới các ứng dụng hợp pháp và lén lút tự đăng ký người dùng với các gói dịch vụ premium một cách trái phép.
Trong một báo cáo được công bố bởi Check Point, mã độc này – còn được gọi là Joker hay Bread – đã sử dụng một thủ thuật mới để vượt qua lớp bảo mật của Google Play Store: giấu file DEX độc hại (Dalvik Executable) trong các ứng dụng dưới dạng các string được mã hóa Base64, sau đó giải mã và tải lên thiết bị bị xâm nhập.
Đáp lại báo cáo lỗ hổng có trách nhiệm của các nhà nghiên cứu Check Point, vào ngày 30 tháng 4 năm 2020, Google đã nhanh chóng xóa 11 ứng dụng được đề cập trong báo cáo khỏi Play Store (xem danh sách và hash tại đây).
“Bất chấp những công sức mà Google bỏ ra để đầu tư cho các biện pháp bảo vệ Play Store, Joker vẫn là một mã độc rất khó phát hiện. Mặc dù Google đã xóa các ứng dụng độc hại khỏi Play Store, nhưng Joker vẫn hoàn toàn có khả năng thích nghi với môi trường mới và tấn công trở lại các ứng dụng,” Aviran Hazum, chuyên gia bảo mật của Check Point, người đã tìm ra được cách thức hoạt động mới của mã độc này cho biết.
Joker: Một chiến dịch gian lận thanh toán quy mô lớn
Được phát hiện lần đầu vào năm 2017, Joker là một trong những mã độc Android phổ biến nhất, khét tiếng với các chiêu trò gian lận thanh toán và khả năng gián điệp bao gồm đánh cắp tin nhắn SMS, danh sách liên lạc và thông tin thiết bị.
Kể từ năm ngoái, tần xuất xuất hiện của các chiến dịch liên quan đến Joker bắt đầu gia tăng với hàng loạt các ứng dụng Android bị nhiễm mã độc này được phát hiện bởi CSIS Security Group, Trend Micro, Dr.Web, và Kaspersky. Chúng liên tục tìm ra các phương thức tấn công mới nhắm đến các điểm yếu trong khâu kiểm tra bảo mật của Play Store .
Để che giấu nguồn gốc của mã độc, những kẻ chế tạo đằng sau chiến dịch này đã áp dụng nhiều phương thức khác nhau: từ mã hóa để ẩn chuỗi (string) khỏi các công cụ phân tích cho đến tự viết các đánh giá giả để dụ người dùng tải ứng dụng. Ngoài ra, chúng còn sử dụng một kỹ thuật được gọi là versioning, về cơ bản thì nó sẽ tải phiên bản sạch (không độc hại) của ứng dụng lên Play Store trước để lấy được lòng tin người dùng, và sau đó thì lén lút chèn mã độc thông qua các bản cập nhật ứng dụng.
“Những chính sách mới của Play Store cùng với việc Google Play Protect liên tục tăng cường các lớp bảo mật buộc Bread cũng phải liên tiếp đổi mới các phương thức để khai thác điểm yếu trong hệ thống. Thậm chí tại một số thời điểm, những mã độc này gần như sử dụng mọi kỹ thuật che giấu có thể có để tránh tối đa việc bị phát hiện,” Nhóm phụ trách bảo mật của Android cho biết vào đầu năm nay.
Trong suốt ba năm qua (tính đến tháng 1 năm 2020), Google đã xóa hơn 1.700 ứng dụng bị nhiễm mã độc được gửi tới Play Store.
Sử dụng Android Manifest để ẩn file DEX độc hại
Biến thể mới được phát hiện bởi Check Point có cùng mục tiêu tấn công, chỉ khác là nó được thực thi bằng cách lợi dụng file manifest của ứng dụng, thường được dùng để tải một file DEX được mã hóa Base64.
Biến thể thứ hai được phát hiện bởi Check Point sử dụng kỹ thuật tấn công tương tự, ẩn file .dex dưới dạng Base64 string nhưng thêm chúng với chức năng như một lớp bên trong ứng dụng chính và tải nó thông qua reflection APIs.
“Để có thể đăng ký trái phép người dùng với các gói dịch vụ premium mà họ không hề hay biết, Joker đã lợi dụng hai bộ phận chính: Notification Listener của ứng dụng gốc và file dex động (dynamic dex file) được tải từ máy chủ C&C để thực hiện việc đăng ký,” Hazum viết trong báo cáo phân tích của mình.
Hơn nữa, biến thể này còn được trang bị một tính năng mới cho phép kẻ tấn công có thể tác động từ xa và phát hành một mã trạng thái (status code) sai lệch từ một máy chủ C&C mà chúng kiểm soát để tránh bị phát hiện.
Thực tế thì, chiến dịch Joker mới này đóng vai trò giống như một lời cảnh báo về sự phát triển không ngừng của các mã độc Android hơn là về tính nghiêm trọng của mã độc này. Và do đó, nó chính là một lời nhắc nhở tới những nhà phát triển rằng hệ điều hành dễ bị tấn công này luôn cần phải đề phòng bảo vệ.
Người dùng đã cài đặt các ứng dụng bị nhiễm độc được khuyến nghị nên kiểm tra lại điện thoại cũng như lịch sử giao dịch của mình để xem liệu có bất kỳ khoản thanh toán đáng ngờ nào hay không. Ngoài ra, bạn cũng nên xem xét kỹ lưỡng lại các quyền mà các ứng dụng được phép thực hiện trên thiết bị Android của mình.
Thêm bình luận