20/07/2019, 10:16

Phần mềm độc hại mới thay thế các ứng dụng trên Android bằng các ứng dụng giả trên 25 triệu thiết bị

Bạn có chắc chắn ứng dụng WhatsApp bạn đang sử dụng trên thiết bị Android của mình là hợp pháp, ngay cả khi ứng dụng này hoạt động hoàn hảo như dự định không? Hoặc ứng dụng JioTV, AppLock, Hotstar, Flipkart, Opera Mini hoặc Truecaller liệu cài đặt chúng có an toàn? Mới đây các ...

Bạn có chắc chắn ứng dụng WhatsApp bạn đang sử dụng trên thiết bị Android của mình là hợp pháp, ngay cả khi ứng dụng này hoạt động hoàn hảo như dự định không? Hoặc ứng dụng JioTV, AppLock, Hotstar, Flipkart, Opera Mini hoặc Truecaller liệu cài đặt chúng có an toàn?

Mới đây các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết mở về chiến dịch phần mềm độc hại Android phổ biến trong đó những kẻ tấn công âm thầm thay thế các ứng dụng hợp pháp đã cài đặt bằng các phiên bản độc hại của chúng trên gần 25 triệu điện thoại di động. Theo các nhà nghiên cứu tại Check Point, những kẻ tấn công đang phân phối một loại phần mềm độc hại Android mới ngụy trang thành các app chỉnh sửa ảnh, giải trí người lớn hoặc ứng dụng chơi trò chơi và có sẵn thông qua các cửa hàng ứng dụng của bên thứ ba được sử dụng rộng rãi.

Được đặt tên là Agent Smith , phần mềm độc hại lợi dụng nhiều lỗ hổng Android, như lỗ hổng Janus và lỗ hổng Man-in-the-Disk , và tiêm mã độc vào các tệp APK của các ứng dụng nhắm mục tiêu được cài đặt trên thiết bị bị xâm nhập và sau đó tự động đăng lại cài đặt / cập nhật chúng mà không có kiến ​​thức hoặc tương tác của nạn nhân.

“Theo thời gian, chiến dịch này cũng sẽ lây nhiễm cùng một thiết bị, nhiều lần, với các bản vá độc hại mới nhất. Chúng tôi ước tính có tổng cộng hơn 2,8 tỷ ca nhiễm, trên khoảng 25 triệu thiết bị duy nhất, nghĩa là trung bình mỗi nạn nhân sẽ phải chịu khoảng 112 lần hoán đổi các ứng dụng vô tội. “

Email lừa đảo mới trá hình Microsoft OneNote

Agent Smith Malware hoạt động như thế nào?
Khi cài đặt các ứng dụng boobytrapping, phần mềm độc hại Agent Smith tận dụng chuỗi lây nhiễm ba giai đoạn và chứa các mô-đun khác nhau cho từng bước, quy trình của hoạt động được giải thích bên dưới:
1.) Mô-đun trình tải – Ứng dụng ban đầu phân phối phần mềm độc hại có chứa mô-đun có tên là Trình tải, với mục đích duy nhất là giải mã, giải nén và chạy mô-đun giai đoạn thứ hai có tên Core.
2.) Mô-đun lõi – Sau khi được thực thi, mô-đun Core liên lạc với máy chủ C & C của kẻ tấn công để nhận danh sách các ứng dụng phổ biến cần được nhắm mục tiêu.

Nếu nó tìm thấy một trận đấu được cài đặt trên thiết bị của nạn nhân, mô-đun Core cố gắng lây nhiễm APK được nhắm mục tiêu bằng cách sử dụng lỗ hổng Janus hoặc chỉ đơn giản là biên dịch lại APK với tải trọng độc hại.
Hơn nữa, để tự động cài đặt APK đã sửa đổi và thay thế phiên bản gốc mà không có sự đồng ý của người dùng, những kẻ tấn công sử dụng một loạt các lỗ hổng trong 1 ngày, bao gồm cả tấn công người dùng trong đĩa.

3.) Mô-đun khởi động – Mô-đun này được bao gồm trong tải trọng độc hại được gói cùng với ứng dụng gốc và hoạt động giống như mô-đun Trình tải. Nó trích xuất và thực thi một tải trọng độc hại, được gọi là mô-đun Patch khi nạn nhân chạy ứng dụng đã sửa đổi.

4.) Mô-đun Bản vá – Mô-đun vá đã được thiết kế để ngăn các ứng dụng đã sửa đổi nhận các bản cập nhật hợp pháp, nếu được cài đặt, sẽ hoàn nguyên tất cả các thay đổi độc hại.
“Trong khi đầu tư nhiều tài nguyên vào việc phát triển phần mềm độc hại này, Đặc vụ Smith không muốn có một bản cập nhật thực sự để loại bỏ tất cả các thay đổi được thực hiện, vì vậy đây là nơi mô-đun Patch xuất hiện”
“Với mục đích duy nhất về việc vô hiệu hóa cập nhật tự động cho ứng dụng bị nhiễm, mô-đun này quan sát thư mục cập nhật cho ứng dụng gốc và xóa tệp khi nó xuất hiện. “
5.) Mô-đun AdSDK – Đây là tải trọng thực tế hiển thị quảng cáo cho các nạn nhân để kiếm lợi nhuận và tiếp tục lây nhiễm thiết bị với các phần mềm quảng cáo khác.
Tuy nhiên, các nhà nghiên cứu cảnh báo rằng phần mềm độc hại mô-đun này có thể dễ dàng thích nghi cho các mục đích xâm phạm và có hại hơn nhiều, chẳng hạn như đánh cắp thông tin nhạy cảm từ tin nhắn cá nhân đến thông tin ngân hàng và nhiều hơn nữa.
Các nhà nghiên cứu đã gặp phải phần mềm độc hại Agent Smith vào đầu năm 2019, chủ yếu được tìm thấy nhắm mục tiêu các thiết bị Android ở Ấn Độ (với 15 triệu thiết bị bị nhiễm) và các quốc gia châu Á lân cận khác như Pakistan, Bangladesh, Indonesia và Nepal.

Tuy nhiên, phần mềm độc hại cũng ảnh hưởng đến một số thiết bị đáng chú ý ở Hoa Kỳ (hơn 300.000 thiết bị bị nhiễm), Úc (hơn 140.000 thiết bị bị nhiễm) và Vương quốc Anh (hơn 135.000 thiết bị bị nhiễm).

Người dùng cũng được khuyên nên gỡ cài đặt bất kỳ ứng dụng nào mà họ nghi ngờ có thể độc hại bằng cách vào Menu Cài đặt, nhấp vào Ứng dụng hoặc Trình quản lý ứng dụng, sau đó Di chuyển đến ứng dụng bị nghi ngờ và gỡ cài đặt ứng dụng.


Do lỗ hổng quan trọng mà Agent Smith đang khai thác từ năm 2017 và đã được vá, các nhà phát triển ứng dụng di động được khuyến nghị triển khai APK Signature Scheme V2 mới nhất để ngăn các ứng dụng độc hại tận dụng lỗ hổng Janus của Android chống lại các ứng dụng của họ.

Thiết bị mạng của Huawei dính lỗ hổng bảo mật đáng lo ngại

Nguồn: Thehackernew

0