Google Play bị bypass bởi Android Backdoor của Hacking Team

Một Android Backdoor phát triển bởi công ty sản xuất phần mềm gián điệp Ý Hacking Team có khả năng bypass quá trình kiểm tra của Google Play. Mối đe dọa này được thiết kế nhằm cài đặt spyware trên thiết bị của người dùng.

Các nhà nghiên cứu vẫn tiếp tục nghiên cứu 400GB dữ liệu rò rỉ trong vụ việc Hacking Team bị hack. Trong đó có các khai thác zero-day, một UEFI rootkit và công cụ được thiết kế giúp tấn công các thiết bị iOS chưa jailbreak dễ dàng hơn.

Một trong các công cụ phát triển bởi Hacking Team tấn công thiết bị Android được ngụy trang trong một ứng dụng đọc tin tức có tên BeNews. BeNews thuộc về một trang web đã giải thể từ lâu. Google đã loại bỏ ứng dụng này ra khỏi Play Store chỉ một thời gian ngắn sau vụ rò rỉ Hacking Team. Ứng dụng đã được tải về 50 lần.

Backdoor ANDROIDOS_HTBENEWS.A được phát hiện bởi Trend Micro có thể bypass bộ lọc Google Play bởi vì nó không hề chứa bất kì khai thác và chỉ yêu cầu 3 cho phép (permission) trong quá trình cài đặt. Tuy nhiên, khi nạn nhân bắt đầu sử dụng BeNews, malware sẽ dùng kĩ thuật dynamic loading nhằm tải  và thực thi những mã bổ sung từ máy chủ. Backdoor làm việc trên Android 2.2 đến 4.4.4. Nó khai thác lỗ hổng leo thang đặc quyền cục bộ (CVE-2014-3153) nhằm thực hiện mục đích của mình.

Lỗ hổng tương tự đã được khai thác bởi TowelRoot, một mẫu Android malware có khả năng phá vỡ cơ chế bảo mật của thiết bị, mở cổng cho các malware khác chiếm quyền truy cập từ xa. Dựa vào phân tích mã nguồn và tài liệu hướng dẫn sử dụng backdoor, các chuyên gia tin rằng Hacking Team cung cấp ứng dụng này cho khách hàng như một biện pháp phát tán spyware với mục tiêu xác định.

Thông tin rò rỉ của Hacking Team cho phép bất cứ ai có thể triển khai phần mềm của công ty. Tuy nhiên Hacking Team cũng khẳng định rằng hệ thống bị lộ sẽ được thay thế hoàn toàn trong tương lai.

securityweek