Breaking News

Phát hiện 3 ứng dụng trên Google Play Store được NSO Group sử dụng để khai thác các lỗ hổng 0-day trong Android

Hãy cẩn thận, nếu thiết bị Android của bạn đang sử dụng các trình quản lý file hoặc các ứng dụng chụp ảnh được liệt kê dưới đây, bạn chính thức đã bị theo dõi.
Theo đó, các ứng dụng Android bị phát hiện lần này bao gồm Camero, FileCrypt và callCam. Cả 3 ứng dụng này đều được cho là có liên quan đến nhóm tin tặc APT Sidewinder, một nhóm tin tặc chuyên thực hiện các hành vi gián điệp mạng.




Phát hiện 3 ứng dụng trên Google Play Store được NSO Group sử dụng để khai thác các lỗ hổng 0-day trong Android - CyberSec365.org
Phát hiện 3 ứng dụng trên Google Play Store được NSO Group sử dụng để khai thác các lỗ hổng 0-day trong Android - CyberSec365.org
Theo các nhà nghiên cứu bảo mật thuộc hãng bảo mật Trend Micro, các ứng dụng này đã khai thác một lỗ hổng bảo mật nghiêm trọng (có mã hiệu CVE-2019-2215) tồn tại trong các thiết bị Android ít nhất từ tháng 3/2019. Phải mất đến 7 tháng sau,  lỗ hổng 0-day này mới được các nhà nghiên cứu bảo mật của Google phát hiện và phân tích trong các cuộc tấn công của NSO Group, một nhóm tin tặc đến từ Israel.
"Chúng tôi đoán rằng các ứng dụng này đã hoạt động từ tháng 3/2019 dựa trên các thông tin về chứng chỉ của ứng dụng", theo các nhà nghiên cứu.
Được biết, lỗ hổng bảo mật này (có mã hiệu CVE-2019-2215) là một lỗ hổng về các vấn đề leo thang đặc quyền. Một khi khai thác thành công, lỗ hổng này có thể cho phép tin tặc thỏa hiệp và chiếm quyền Root trên các thiết bị bị nhắm mục tiêu. Bên cạnh đó, các nhà nghiên cứu cho biết lỗ hổng này cũng có thể bị khai thác từ xa khi được kết hợp với các lỗ hổng khác.

Phần mềm gián điệp này bí mật Root điện thoại Android của bạn




Theo Trend Micro, FileCrypt Manager and Camero sẽ đóng vai trò là như một người kết nối nhằm kết nối với máy chủ điều khiển và kiểm soát (C&C) từ xa nhằm tải xuống một tệp DEX. Sau đó, các phần mềm này sẽ tiếp tục tải xuống ứng dụng CallCam và cố gắng cài đặt nó bằng cách khai thác các lỗ hổng leo thang đặc quyền hoặc lạm dụng các tính  năng trợ năng.
Phát hiện 3 ứng dụng trên Google Play Store được NSO Group sử dụng để khai thác các lỗ hổng 0-day trong Android - CyberSec365.org
Phát hiện 3 ứng dụng trên Google Play Store được NSO Group sử dụng để khai thác các lỗ hổng 0-day trong Android - CyberSec365.org
Phát hiện 3 ứng dụng trên Google Play Store được NSO Group sử dụng để khai thác các lỗ hổng 0-day trong Android - CyberSec365.org
Phát hiện 3 ứng dụng trên Google Play Store được NSO Group sử dụng để khai thác các lỗ hổng 0-day trong Android - CyberSec365.org
Các nhà nghiên cứu cho biết: "Tất cả những điều này được thực hiện mà không có sự nhận biết hoặc can thiệp của người dùng. Để tránh bị phát hiện, nó sử dụng nhiều kỹ thuật như che giấu, mã hóa dữ liệu và invoking dynamic code".
Sau khi cài đặt, callCam ẩn biểu tượng của nó khỏi menu, thu thập thông tin sau từ thiết bị bị xâm nhập và gửi lại cho máy chủ C&C của kẻ tấn công:

  • Vị trí
  • Trạng thái pin
  • Tập tin trên thiết bị
  • Danh sách ứng dụng đã cài đặt
  • Thông tin thiết bị
  • Thông tin cảm biến
  • Thông tin camera
  • Ảnh chụp màn hình
  • Tài khoản
  • Thông tin wifi
  • Dữ liệu từ WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail và Chrome.



Bên cạnh CVE-2019-2215, các ứng dụng độc hại cũng cố gắng khai thác một lỗ hổng riêng biệt trong trình điều khiển MediaTek-SU để có được quyền root và tính ổn địng trên một loạt các thiết bị cầm tay Android.
Dựa trên sự chồng chéo về vị trí của các máy chủ chỉ huy và kiểm soát, các nhà nghiên cứu đã quy kết chiến dịch cho SideWinder, được cho là một nhóm gián điệp Ấn Độ nhắm vào các tổ chức lịch sử liên kết với Quân đội Pakistan.

Cách bảo vệ điện thoại Android khỏi phần mềm độc hại

Google hiện đã xóa tất cả các ứng dụng độc hại nêu trên khỏi Play Store, nhưng vì các hệ thống của Google không đủ để ngăn chặn các ứng dụng xấu ra khỏi cửa hàng chính thức, bạn phải rất cẩn thận trong việc tải xuống ứng dụng.
Để kiểm tra xem thiết bị của bạn có bị nhiễm phần mềm độc hại này hay không, hãy truy cập cài đặt hệ thống Android → Trình quản lý ứng dụng, tìm tên gói được liệt kê và gỡ cài đặt.
Để bảo vệ thiết bị của bạn trước hầu hết các mối đe dọa trên mạng, bạn nên thực hiện các biện pháp phòng ngừa đơn giản nhưng hiệu quả như:


  • giữ cho các thiết bị và ứng dụng luôn được cập nhật,
  • tránh tải xuống ứng dụng từ các nguồn không chính thức,
  • luôn chú ý đến các quyền mà ứng dụng yêu cầu,
  • thường xuyên sao lưu dữ liệu và cài đặt một ứng dụng chống virus tốt bảo vệ chống lại phần mềm độc hại này và các mối đe dọa tương tự.

Để ngăn mình khỏi bị nhắm mục tiêu bởi các ứng dụng như vậy, hãy luôn cẩn thận với các ứng dụng lạ, ngay cả khi tải xuống từ Google Play Store và chỉ cố gắng bám vào các thương hiệu đáng tin cậy. Ngoài ra, luôn luôn xem xét các đánh giá ứng dụng do những người dùng khác đã tải xuống ứng dụng để lại và cũng xác minh các quyền của ứng dụng trước khi cài đặt bất kỳ ứng dụng nào và chỉ cấp các quyền đó có liên quan cho mục đích của ứng dụng.
Đại Phát (Theo THN)



Không có nhận xét nào