Malware mới thay thế các ứng dụng hợp pháp trên 25 triệu thiết bị

Malware mới thay thế các ứng dụng hợp pháp trên 25 triệu thiết bị

July 12, 2019 | vietsunshine

Bạn có chắc chắn ứng dụng WhatsApp bạn đang sử dụng trên thiết bị Android của mình là hợp pháp, ngay cả khi ứng dụng này hoạt động hoàn hảo như dự định không?

Hoặc ứng dụng JioTV, AppLock, HotStar, Flipkart, Opera Mini hoặc Truecaller – Nếu bạn đã cài đặt bất kỳ trong số này?

Các nhà nghiên cứu an ninh mạng mới hôm qua đã tiết lộ chi tiết mở về chiến dịch phần mềm độc hại Android phổ biến trong đó những kẻ tấn công âm thầm thay thế các ứng dụng hợp pháp đã cài đặt bằng các phiên bản độc hại của chúng trên gần 25 triệu điện thoại di động.

Bây giờ câu hỏi quan trọng ở đây là làm thế nào họ làm điều đó và tại sao?

Theo các nhà nghiên cứu, những kẻ tấn công đang phân phối một loại phần mềm độc hại Android mới ngụy trang thành chỉnh sửa ảnh, giải trí người lớn hoặc ứng dụng chơi trò chơi và có sẵn thông qua các cửa hàng ứng dụng của bên thứ ba được sử dụng rộng rãi.

Được đặt tên là Agent Smith, phần mềm độc hại lợi dụng nhiều lỗ hổng Android, như lỗ hổng Janus và lỗ hổng Man-in-the-Disk, và tiêm mã độc vào các tệp APK của các ứng dụng được nhắm mục tiêu được cài đặt trên thiết bị bị xâm nhập và sau đó tự động đăng lại cài đặt/cập nhật chúng mà không có kiến thức hoặc tương tác của nạn nhân.

Malware mới thay thế các ứng dụng hợp pháp trên 25 triệu thiết bị_2

 

Phần mềm độc hại, mà các nhà nghiên cứu tin rằng gắn liền với một công ty có trụ sở tại Trung Quốc, đã được thiết kế để thu lợi tài chính bằng cách phục vụ các quảng cáo độc hại cho nạn nhân.

Agent Smith Malware hoạt động như thế nào?

Khi cài đặt các ứng dụng boobytrapping, phần mềm độc hại Agent Smith tận dụng chuỗi lây nhiễm ba giai đoạn và chứa các mô-đun khác nhau cho mỗi bước, hoạt động được giải thích bên dưới:

  1. Loader Module – Ứng dụng ban đầu phân phối phần mềm độc hại chứa một mô-đun có tên là Loader, với mục đích duy nhất là giải mã, giải nén và chạy mô-đun giai đoạn thứ hai có tên Core.
  2. Core Module – Sau khi được thực thi, module Core liên lạc với máy chủ C&C của kẻ tấn công để nhận danh sách các ứng dụng phổ biến cần được nhắm mục tiêu. Nếu nó tìm thấy các ứng dụng trong danh sách đã được cài đặt trên thiết bị của nạn nhân, module core cố gắng lây nhiễm APK được nhắm mục tiêu bằng cách sử dụng lỗ hổng Janus hoặc chỉ đơn giản là biên dịch lại APK với tải trọng độc hại. Hơn nữa, để tự động cài đặt APK đã sửa đổi và thay thế phiên bản gốc mà không có sự đồng ý của người dùng, những kẻ tấn công sử dụng một loạt các lỗ hổng 1-day bao gồm cả tấn công man-in-the-disk.
  3. Boot Module – Module này bao gồm tải trọng độc hại được gói cùng với ứng dụng gốc và hoạt động giống như Loader module Nó trích xuất và thực thi một tải trọng độc hại, được gọi là Patch module khi nạn nhân chạy ứng dụng đã sửa đổi.
  4. Patch Module – đã được thiết kế để ngăn các ứng dụng sửa đổi nhận được các bản cập nhật hợp pháp.
  5. AdSDK Module – Đây là tải trọng thực tế hiển thị quảng cáo cho các nạn nhân để kiếm lợi nhuận và cũng lây nhiễm thiết bị với các họ phần mềm quảng cáo khác.
Malware mới thay thế các ứng dụng hợp pháp trên 25 triệu thiết bị_3

 

Tuy nhiên, các nhà nghiên cứu cảnh báo rằng phần mềm độc hại module này có thể dễ dàng thích nghi cho các mục đích xâm phạm và có hại hơn nhiều, chẳng hạn như đánh cắp thông tin nhạy cảm từ tin nhắn cá nhân đến thông tin ngân hàng và nhiều hơn nữa.

Các nhà nghiên cứu ban đầu đã gặp phải phần mềm độc hại Agent Smith vào đầu năm 2019, chủ yếu được tìm thấy nhắm mục tiêu các thiết bị Android ở Ấn Độ (với 15 triệu thiết bị bị nhiễm) và các quốc gia châu Á lân cận khác như Pakistan, Bangladesh, Indonesia và Nepal.

Malware mới thay thế các ứng dụng hợp pháp trên 25 triệu thiết bị_4

 

Tuy nhiên, phần mềm độc hại cũng ảnh hưởng đến một số thiết bị đáng chú ý ở Hoa Kỳ (hơn 300.000 thiết bị bị nhiễm), Úc (hơn 140.000 thiết bị bị nhiễm) và Vương quốc Anh (hơn 135.000 thiết bị bị nhiễm).

Bên cạnh các cửa hàng ứng dụng của bên thứ ba, các nhà nghiên cứu cũng tìm thấy ít nhất 11 ứng dụng bị nhiễm trên Google Play Store trong những tháng gần đây có chứa các thành phần Agent Smith độc hại nhưng không hoạt động.

Điều này chỉ ra rõ ràng rằng các tác nhân đe dọa đằng sau chiến dịch phần mềm độc hại này cũng đang cố gắng tìm cách trong nền tảng tải xuống ứng dụng di động của Google để truyền bá phần mềm quảng cáo của họ. Google đã gỡ bỏ tất cả các ứng dụng khỏi cửa hàng của mình.

Vì Agent Smith chủ yếu là những người dùng bị nhiễm đã tải xuống ứng dụng từ các cửa hàng ứng dụng của bên thứ ba, người dùng luôn được khuyến nghị luôn tải xuống các ứng dụng từ các cửa hàng ứng dụng đáng tin cậy để giảm thiểu rủi ro lây nhiễm. Ngoài ra, chỉ tải xuống ứng dụng từ các nhà phát triển đáng tin cậy.

Người dùng cũng được khuyên nên gỡ cài đặt bất kỳ ứng dụng nào mà họ nghi ngờ có thể độc hại bằng cách vào Menu Cài đặt, nhấp vào Ứng dụng hoặc Trình quản lý ứng dụng, sau đó Di chuyển đến ứng dụng bị nghi ngờ và gỡ cài đặt ứng dụng.

Do lỗ hổng quan trọng mà Agent Smith đang khai thác từ năm 2017 và đã được vá, các nhà phát triển ứng dụng di động được khuyến nghị triển khai APK Signature Scheme V2 mới nhất để ngăn các ứng dụng độc hại tận dụng lỗ hổng Janus của Android chống lại các ứng dụng của họ.

Nguồn: New Malware Replaced Legit Android Apps With Fake Ones On 25 Million Devices

Xem thêm: Lỗ hổng 0-Day của WhatsApp cho phép hacker cài phần mềm gián điệp

Tags: , , ,