Phát hiện mã độc 'qua mặt' Google Play

Các nhà nghiên cứu bảo mật tại Trend Micro vừa phát hiện tiểu xảo được sử dụng trong một ứng dụng tin tức giả mạo vốn có thể giúp spyware này đánh lừa tính năng kiểm duyệt mã nguồn của Google Play.

Theo đó, ứng dụng mẫu này vốn được tạo ra bởi nhóm Hacking Team - một công ty chuyên cung cấp các công cụ khai thác lỗ hổng cũng như tấn công mạng, sẽ cho phép khách hàng của công ty lẻn cài phần mềm gián điệp lên các thiết bị di động và đặc biệt là chúng có khả năng "qua mặt" được hệ thống kiểm duyệt mã nguồn gắt gao trên "chợ" ứng dụng trực tuyến Google Play.

 

Trang Ars Technica cho biết, ứng dụng mang tên BeNews mặc dù được tải về chưa quá 50 lần do nằm trong diện khả nghi của Google Play nhưng về cơ bản thì kỹ thuật mà BeNews khai thác đã được sử dụng trong các ứng dụng Android khác mà khách hàng của Hacking Team phát triển, và hiện giờ kỹ thuật này có lẽ cũng được sao chép bởi những người khác vốn đang cố gắng "cấy" mã độc vào các thiết bị Android.

 

Ảnh minh họa.

Các chuyên gia bảo mật tại phòng thí nghiệm Trend Labs thuộc Trend Micro khẳng định, BeNews được thiết kế như là một trojan dành cho mã độc có tác dụng mở "cửa hậu" RCSAndroid do chính Hacking Team phát triển.

Đáng chú ý, theo các chuyên gia tại Trend Micro, trojan này đã cố tình sử dụng tên của một website tin tức không còn tồn tại nhằm đánh lừa người dùng cũng như giả danh như là một ứng dụng Android hoàn toàn hợp pháp.

Theo tường thuật của Ars Technica, đại diện Trend Micro cho biết hãng này tìm thấy mã nguồn của ứng dụng BeNews trong các tập tin của Hacking Team bị rò rỉ gần đây, cùng tài liệu hướng dẫn khách hàng cách sử dụng.

Căn cứ vào đây, Trend Micro tin rằng Hacking Team đã cung cấp ứng dụng mã độc này cho khách hàng sử dụng làm mồi nhử người dùng tải phần mềm độc hại RCSAndroid lên thiết bị Android.

Ứng dụng mã độc của Hacking Team về mặt kỹ thuật sẽ khai thác một lỗ hổng "leo thang quyền hạn" trên nền tảng Android từng được báo cáo hồi Hè 2014, vốn ảnh hưởng đến tất cả phiên bản hệ điều hành di động từ Android 2.2 (Froyo) đến Android 4.4.4 (KitKat) cũng như vài phiên bản Android khác. Ngoài ra, lỗ hổng bảo mật này cũng được tường thuật sẽ ảnh hưởng đến các phiên bản Linux khác.

Theo nhận định của các chuyên gia Trend Micro, phương thức tấn công và khai thác lỗ hổng của BeNews không tồn tại trong các đoạn mã khởi đầu của mã độc. Thay vào đó, mã độc chỉ yêu cầu 3 quyền vốn được coi là an toàn theo tiêu chuẩn bảo mật của Google là không có mã khai thác lỗ hổng được tìm thấy trong ứng dụng.

Tuy nhiên, sau khi ứng dụng được tải về và khởi chạy bởi chính người dùng, mã độc sẽ tự động tải thêm các đoạn mã (code) nguy hại bổ sung, và từ đó sử dụng các đoạn mã mới phát sinh này để "leo thang" quyền hạn trên thiết bị Android và tiếp đến là cài vào "cửa hậu" RCSAndroid như từng đề cập ở phần trên.

Theo PCWorldVN

Thêm bình luận

Plain text

  • Không được dùng mã HTML.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.