Chủ đề

Mã độc gián điệp MobSTSPY lây lan toàn cầu qua Google Play

(Không gian mạng) - Thông qua 6 ứng dụng, một loại mã độc gián điệp đã phát tán trên 196 quốc gia. Phần mềm gián điệp MobSTSPY trên Android này lợi dụng các ứng dụng để phát tán trên toàn cầu, chủ yếu qua kho ứng dụng Google Play.

Android-trojan

Mã độc ngụy trang những ứng dụng hợp pháp hỗ trợ nhiều tiện ích như đèn flash, trò chơi, hay công cụ hỗ trợ công việc. Trong khi các cửa hàng ứng dụng bên thứ 3 tốn phí bị lợi dụng để cài mã độc, thì điều đáng chú ý là MobSTSPY cũng đã xâm nhập vào ít nhất 6 ứng dụng khác nhau trên Google Play trong năm 2018.

“Trường hợp này khá thú vị, một phần là do mức độ rộng rãi mà những ứng dụng này được phân phối đến”, chuyên gia Ecular Xu và Grey Guo tại Trend Micro (Nhật) viết trong báo cáo ra ngày 03/01. “Thông qua việc giám sát back-end và nghiên cứu sâu, chúng tôi đã có thể thấy sự phân bổ tổng quát của những người dùng bị ảnh hưởng và phát hiện, nạn nhân trải dài từ tổng cộng 196 nước khác nhau”.

Mã độc lây nhiễm từ Cộng hòa Mozambique đến Ba Lan, từ Iran cho đến Việt Nam, Algeria đến Thái Lan, Đức đến Iraq…

Những ứng dụng độc hại trên Google Play gồm có: Flappy Birr Dog, FlashLight, HZPermis Pro Arabe, Win7imulator, Win7Launcher và Flappy Bird, tất cả chúng đều xuất hiện vào năm 2018 và hiện đã bị gỡ bỏ khỏi kho ứng dụng. Một vài ứng dụng còn có lượt tải về hơn 100.000 lần từ khắp toàn cầu.

Về khả năng, MobSTSPY chủ yếu là mã độc đánh cắp thông tin, dù nó cũng mang một khả năng phishing đặc biệt.

Đầu tiên, mã độc đào sâu vào những dữ liệu như vị trí người dùng, tin nhắn văn bản, danh sách liên lạc, nhật ký cuộc gọi và các mục trên clipboard; ngoài ra, mã độc còn có khả năng đánh cắp và tải lên tập tin tìm thấy từ thiết bị. Trend Micro quan sát được rằng, mã độc dùng giải pháp tin nhắn đa nền tảng (FCM) để liên lạc với máy chủ C&C, và nó trích xuất dữ liệu dựa vào lệnh nhận được.

MobSTSPY cũng thu thập thông tin hữu ích về thiết bị trong bước đầu, như ngôn ngữ, quốc gia đăng ký, tên bộ chương trình, nhà sản xuất thiết bị…, những thông tin có thể lợi dụng để “nhận dạng” thiết bị cho các chiến dịch khai thác hay social engineering sau này.

“Mã độc gửi thông tin thu thập được về máy chủ C&C, và rồi đăng ký cho thiết bị đó”, báo cáo viết. “Một khi hoàn tất, nó sẽ chờ và làm theo lệnh nhận được từ máy chủ C&C thông qua FCM”.

Ngoài khả năng đánh cắp thông tin, mã độc còn thu thập thông tin đăng nhập phụ qua tấn công phishing. Nó hiện lên cửa sổ pop-up Facebook và Google giả, yêu cầu người dùng cung cấp thông tin tài khoản, nếu người dùng nhập thông tin, nó sẽ trả về tin nhắn “đăng nhập thành công” mà không hiện cờ đỏ cho người dùng.

“Trường hợp của MobSTSPY cho thấy, dù ứng dụng có phổ biến và hữu ích đến đâu thì người dùng vẫn phải cẩn trọng khi tải về máy”, Trend Micro nhận định. “Tính phổ biến của ứng dụng lại chính là điều thúc đẩy tội phạm mạng phát triển những chiến dịch nhằm lợi dụng nó để đánh cắp thông tin hoặc phục vụ cho các cuộc tấn công khác”.

Mã độc trên Google Play

Mã độc trên Google Play tương đối hiếm, nhưng dĩ nhiên đây không phải là lần đầu mã độc có khả năng qua mặt chính sách và bộ lọc Google Play. Tháng 11/2018, ứng dụng thu âm Simple Call độc hại đã bị gỡ bỏ sau gần một năm cho phép tải về. Mục đích chính của mã độc là lừa người dùng cài một ứng dụng phụ, có chức năng hỗ trợ cập nhật Adobe Flash Player.

Cũng vào đầu năm 2018, Google phải gỡ bỏ 22 ứng dụng chứa mã độc trên hàng loạt các ứng dụng khác nhau từ đèn flash, thu âm cuộc gọi cho đến ứng dụng tăng tốc tín hiệu Wifi, những ứng dụng này đã có đến 7,5 triệu lượt tải về từ Google Play.

Năm 2017, Google xóa 700.000 ứng dụng khỏi Google Play vì vi phạm chính sách. Dù không phải tất cả chúng đều chứa mã độc, nhưng hầu hết là bản sao chép của một ứng dụng phổ biến hơn hoặc chứa nội dung không phù hợp.

Vấn đề ở đây là một khi ứng dụng độc hại được gỡ bỏ, thì những người đã tải chúng về lại không được thông báo về nó – vì vậy mà dường như thiết bị của hàng triệu người dùng vẫn còn dính mã độc. Theo một nghiên cứu của hãng bảo mật Pradeo vào tháng 11/2018, thực tế cho thấy 89% số ứng dụng độc hại được xóa khỏi kho ứng dụng vẫn còn được cài đặt trên thiết bị đang hoạt động, 6 tháng kể từ khi chúng bị xóa.

LQĐ (Lược dịch từ: Threatpost)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: