[Rò rỉ Hacking Team] Tìm thấy malware tấn công thiết bị iOS chưa jailbreak

Như đã biết vào năm 2014, lỗ hổng “Masque” trên iOS có thể thay thế ứng dụng hợp pháp thành ứng dụng độc hại. Các nhà nghiên cứu tại FireEye vừa phát hiện ra một vài phương thức tấn công mới lợi dụng lỗ hổng này trong tài liệu rò rỉ của Hacking Team.

Lỗ hổng (CVE-2014-4494, CVE-2015-3722, CVE-2015-3725 và  CVE-2015-3725) có thể bị khai thác trên thiết bị iOS nhằm thay thế, xóa ứng dụng hợp pháp, thu thập dữ liệu nhạy cảm, vượt thông báo của hệ thống, chiếm băng thông hoặc truy cập dữ liệu ứng dụng khác. Những lỗ hổng này đã được vá trong phiên bản iOS 8.1.3 và iOS 8.4.

Dù chưa phát hiện được bất kì cuộc tấn công Masque nào trong thực tế. Nhưng khi phân tích file rò rỉ từ công ty sản xuất phần mềm gián điệp Ý Hacking Team, các nhà nghiên cứu đã phát hiện ra 11 ứng dụng iOS lợi dụng kĩ thuật tấn công này. Những ứng dụng này sử dụng công nghệ đảo ngược và là những phiên bản được trang bị thêm nhiều tính năng của các ứng dụng nhắn tin hay mạng xã hội nổi tiếng bao gồm : WhatsApp, Twitter, Facebook, Facebook Messenger, WeChat, Google Chrome, Viber, Blackberry Messenger, Skype, Telegram, và VK.

Không giống những phiên bản thông thường, chúng đi kèm mã độc được thiết kế đánh cắp dữ liệu nhạy cảm và kết nối đến một máy chủ từ xa. Do tất cả những gói định danh giống với ứng dụng gốc trên App Store nên chúng có thể thay thế trực tiếp trên thiết bị iOS phiên bản trước 8.1.3.

Ứng dụng độc hại sử dụng lệnh LC_LOAD_DYLIB thuộc định dạng MachO nhằm lây nhiễm một dylib độc hại (có tên“_PkgSign”) vào file thực thi gốc. Với mỗi ứng dụng khác nhau, dylib sử dụng các hàm khác nhau với cùng mục đích đánh cắp dữ liệu.

iOS luôn được coi bảo mật hơn Android nhưng cũng có những lỗ hổng rất nghiêm trọng trong hệ điều hành này được khai thác. Chúng tôi khuyến cáo người dùng iOS nên thường xuyên cập nhật phiên bản iOS mới nhất và để ý những ứng dụng mà bạn tải về.

fireeye