Phần mềm gián điệp Android được tìm thấy trong một ứng dụng có tên “Cập nhật hệ thống”. Sau khi được người dùng cài đặt, ứng dụng sẽ ẩn và lén lấy dữ liệu từ thiết bị của nạn nhân đến máy chủ của nhà điều hành.
Các nhà nghiên cứu tại công ty bảo mật di động Zimperium, nơi phát hiện ra ứng dụng độc hại, cho biết khi nạn nhân cài đặt ứng dụng độc hại, phần mềm độc hại sẽ giao tiếp với máy chủ Firebase của nhà điều hành, được sử dụng để điều khiển thiết bị từ xa.
Thiệt hại gây ra từ Phần mềm gián điệp
Phần mềm gián điệp có thể lấy cắp tin nhắn, danh bạ, chi tiết thiết bị, dấu trang trình duyệt và lịch sử tìm kiếm, ghi âm cuộc gọi và âm thanh xung quanh từ micro và chụp ảnh bằng camera của điện thoại. Phần mềm độc hại cũng theo dõi vị trí của nạn nhân, tìm kiếm các tệp tài liệu và lấy dữ liệu được sao chép từ bộ nhớ tạm của thiết bị.
Phần mềm độc hại ẩn khỏi nạn nhân và tránh né bằng cách giảm lượng dữ liệu mạng mà nó tiêu thụ bằng cách tải hình thu nhỏ lên máy chủ của kẻ tấn công thay vì hình ảnh đầy đủ. Phần mềm độc hại này cũng thu thập dữ liệu cập nhật nhất, bao gồm cả vị trí và ảnh.
Cách thức hoạt động
Sau khi được cài đặt, chiến dịch phần mềm gián điệp tinh vi đặt ra nhiệm vụ của nó bằng cách đăng ký thiết bị với máy chủ điều khiển và kiểm soát Firebase (C2) với thông tin như tỷ lệ phần trăm pin, số liệu thống kê về bộ nhớ và liệu điện thoại đã được cài đặt WhatsApp hay chưa, tiếp theo là tích lũy và xuất bất kỳ dữ liệu nào mà máy chủ quan tâm dưới dạng tệp ZIP được mã hóa.
Loại phần mềm độc hại này có khả năng truy cập sâu vào thiết bị của nạn nhân với có nhiều dạng và tên khác nhau, nhưng phần lớn đều hoạt động giống nhau.
Trong những ngày đầu của Internet, trojan truy cập từ xa, hoặc RAT, cho phép theo dõi nạn nhân thông qua webcam của họ. Ngày nay, các ứng dụng giám sát trẻ em thường được sử dụng lại để theo dõi vợ / chồng của một người, được gọi là phần mềm theo dõi hoặc phần mềm phối ngẫu.
Năm ngoái, TechCrunch đã báo cáo về phần mềm theo dõi KidsGuard – bề ngoài là một ứng dụng giám sát trẻ em – đã sử dụng một “bản cập nhật hệ thống” tương tự để lây nhiễm vào thiết bị của nạn nhân.
Nhưng các nhà nghiên cứu không biết ai đã tạo ra phần mềm độc hại.
“Chúng tôi bắt đầu thấy số lượng RAT ngày càng tăng trên các thiết bị di động. Và mức độ phức tạp dường như đang tăng lên, có vẻ như những kẻ xấu đã nhận ra rằng các thiết bị di động có nhiều thông tin về chúng và ít được bảo vệ hơn nhiều so với các thiết bị đầu cuối truyền thống, ”Mittal nói.
Tuy nhiên, những ứng dụng bao gồm phần mềm gián điệp này không có sẵn trong Play Store, vì vậy hầu hết người dùng Android không phải lo lắng về việc mất quyền kiểm soát smartphone của họ. Cũng có khả năng đây là một cuộc tấn công có chủ đích khi xem xét phần mềm độc hại quét thiết bị kỹ lưỡng như thế nào.
Source: Techcrunch
Fanpage: Trí Việt JSC