SecurityDaily – Các nhà nghiên cứu an ninh mạng đã phát hiện ra một lỗ hổng mới chưa được vá trên hệ điều hành Android. Hiện tại, có tới hàng chục ứng dụng độc hại đang lợi dụng lỗ hổng này, nhằm chiếm thông tin tài khoản ngân hàng của người dùng và theo dõi hành vi của họ.
Ứng dụng độc hại ngụy trang thành các ứng dụng khác
Có tên là Strandhogg, lỗ hổng tồn tại trong tính năng đa nhiệm (multi-tasking) của Android, có thể bị khai thác ứng dụng độc hại để ngụy trang thành bất kỳ một ứng dụng nào khác trên thiết bị đó, kể cả ứng dụng hệ thống.
Nói cách khác, khi người dùng chạm vào icon của một ứng dụng hợp pháp, malware khai thác lỗ hổng Strandhogg có thể can thiệp và tấn công (hijack) quá trình này. Sau đó hiển thị một giao diện giả mạo thay vì khởi động ứng dụng ban đầu.
Bằng cách lừa đảo người dùng, khiến họ lầm tưởng bản thân đang sử dụng một ứng dụng hợp pháp, lỗ hổng cho phép ứng dụng độc hại dễ dàng đánh cắp thông tin nhạy cảm của người dùng bằng một màn hình đăng nhập giả mạo, như trình bày trong video:
“Lỗ hổng này cho phép kẻ tấn công mạo danh gần như tất cả mọi ứng dụng theo cách mà người dùng phổ thông rất khó nhận ra.” – các nhà nghiên cứu cho biết.
“Trong ví dụ này, kẻ tấn công đã đánh lừa hệ thống và khởi động một giao diện giả mạo bằng cách thao túng một vài điều kiện chuyển trạng thái (task state transition conditions), ví dụ như taskAffinity và allowTaskReparenting.”
“Khi nạn nhân nhập thông tin cá nhân vào giao diện này, những thông tin đó ngay lập tức được gửi tới kẻ tấn công, khiến chúng có thể truy cập vào mọi tài khoản nhạy cảm của người dùng.”
Sự nguy hiểm của lỗ hổng Strandhogg và cuộc tấn công task hijacking trên Android
Bên cạnh việc lừa đảo thông tin đăng nhập, ứng dụng độc hại kiểu này cũng có thể leo thang đặc quyền bằng cách lừa người dùng cung cấp quyền điều khiển thiết bị (device permission) cho chúng, cũng với kịch bản ngụy trang tương tự.
“Kẻ tấn công có thể hỏi để truy cập bất kỳ quyền nào, bao gồm SMS, ảnh, micro, GPS, cho phép chúng đọc tin nhắn, xem ảnh, nghe lén, và theo dõi hành vi của nạn nhân.”
Được phát hiện bởi các nhà nghiên cứu bảo mật tại công ty bảo mật Promon, cuộc tấn công Strandhogg task hijacking rất nguy hiểm bởi vì:
- người dùng bình thường không thể phát hiện ra;
- nó có thể được dùng để hijack bất kỳ một app nào trên thiết bị;
- nó có thể được dùng để lừa người dùng cấp bất kỳ quyền nào;
- nó có thể bị khai thác mà không cần root;
- nó hoạt động trên mọi phiên bản Android; và
- nó không cần một quyền đặc biệt nào trên Android để hoạt động.
Promon phát hiện ra lỗ hổng này khi đang phân tích một ứng dụng độc hại có chứa Trojan, chúng tấn công tài khoản ngân hàng của vài người dùng ở Cộng hòa Séc và chiếm đoạt tiền của họ.
Theo các nhà nghiên cứu, một vài ứng dụng tương tự cũng đã được phân phối tới người dùng thông qua Google Play Store.
Một công ty bảo mật di động khác là Lookout cũng đã phân tích các mẫu độc hại và xác nhận rằng có ít nhất 36 ứng dụng độc hại ngoài thị trường hiện đang khai thác lỗ hổng Strandhogg.
“Những ứng dụng đó đã bị gỡ bỏ, nhưng kể cả Cửa hàng Google đã có Google Play Protect (tính năng phát hiện ứng dụng độc hại và bảo vệ người dùng), thì những ứng dụng như vậy vẫn đang được xuất bản và thường thoát khỏi hệ thống kiểm định của Google. Thậm chí vài ứng dụng có cả triệu lượt tải xuống trước khi bị phát hiện và gỡ bỏ.” Các nhà nghiên cứu cho biết.
Google thất bại trong việc vá lỗ hổng Strandhogg, người dùng phải làm gì?
Promon đã báo cáo lỗ hổng Strandhogg tới đội ngũ bảo mật của Google vào mùa hè và công bố thông tin vào ngày 2 tháng 12, khi gã khổng lồ công nghệ đã không thể vá lỗ hổng sau thời hạn 90 ngày.
Mặc dù chưa có một cách hiệu quả nào chống lại các cuộc tấn công Strandhogg, người dùng vẫn có thể phát hiện ra những cuộc tấn công này, dựa vào vài chi tiết nhỏ:
- những ứng dụng bạn đã đăng nhập rồi, nay đòi đăng nhập lại;
- pop-up đòi quyền thiết bị nhưng không hiển thị tên ứng dụng;
- ứng dụng đòi quyền thiết bị trong khi nó không thực sự cần quyền đó để hoạt động;
- các nút (buttons) và links không hoạt động khi bạn click vào; và
- nút quay lại (back) không hoạt động.
Thêm bình luận