Phát hiện phần mềm độc hại mới "ẩn" trong ứng dụng Android

08:32, 06/11/2021

Mới đây, AbstractEmu được phát hiện ẩn giấu bên trong các ứng dụng tiện ích, khóa an toàn, trợ năng hoặc tăng cường quyền riêng tư cho Android trên Google Play, Amazon Appstore, Samsung Galaxy Store và các cửa hàng ứng dụng ít được sử dụng khác như Aptoide và APKPure.

"AbstractEmu" có khả năng khai thác lỗ hổng bảo mật và giành toàn quyền kiểm soát các thiết bị thông qua “root”.

Các nhà nghiên cứu của công ty bảo mật Lookout cho biết: "Đây là một phát hiện quan trọng vì phần mềm độc hại được phân phối rộng rãi với khả năng root đã xuất hiện ít hơn rất nhiều trong 5 năm vừa qua".

Phát hiện này như một lời nhắc nhở đối với các doanh nghiệp (DN) và người dùng thiết bị di động nói chung, rằng mặc dù việc tải ứng dụng từ các cửa hàng ứng dụng đáng tin cậy có thể giảm đáng kể khả năng xâm phạm các thiết bị di động, nhưng nó hoàn toàn không phải là một viên đạn bạc và cần phải có biện pháp bảo vệ và giám sát bổ sung.

"Mặc dù không nhiều nhưng mã độc có chức năng root rất nguy hiểm. Bằng phương thức root để chiếm quyền truy cập vào hệ điều hành Android, tin tặc âm thầm tự cấp các quyền cho chính mình hoặc cài đặt phần mềm độc hại bổ sung. Các đặc quyền leo thang cũng cho phép mã độc truy cập các dữ liệu nhạy cảm trên những ứng dụng khác", các nhà nghiên cứu cho biết thêm.

Do đó, việc chọn thiết bị cung cấp các bản vá bảo mật hệ điều hành thường xuyên và kịp thời cũng như hạn chế số lượng ứng dụng và loại bỏ những ứng dụng không cần thiết trên thiết bị là rất quan trọng.

Theo báo cáo từ Lookout, mã độc AbstractEmu được tìm thấy trong 19 ứng dụng đóng vai trò là trình quản lý mật khẩu, trình khởi chạy ứng dụng, trình tiết kiệm dữ liệu, chặn quảng cáo và một số ứng dụng tiện ích khác, và 7 ứng dụng trong số đó có khả năng tự động root thiết bị Android, bao gồm: Anti-ads Browser, Data Saver, Lite Launcher, My Phone, Night Light, All Passwords và Phone Plus.

Trong đó, ứng dụng Lite Launcher đã có hơn 10.000 lượt tải xuống từ Google Play trước khi bị gỡ khỏi chợ ứng dụng này sau khi Google nhận thông báo từ Lookout. Mặc dù chứa phần mềm độc hại, nhưng cấu trúc của nó rất tinh vi và gần như người dùng thông thường không thể nhận thấy bất cứ điều đáng ngờ nào.

Tất cả các ứng dụng đều hoạt động thường xuyên, điều này cho thấy chúng có thể là những ứng dụng hợp pháp đã được đổi tên với mục đích xấu. Ngoài việc được tải lên các cửa hàng ứng dụng khác nhau, các ứng dụng này cũng đang được quảng bá trên mạng xã hội và các diễn đàn liên quan đến Android.

Các nhà nghiên cứu cho biết: "Các quyền mở rộng được cấp thông qua quyền truy cập root phù hợp với các mối đe dọa có động cơ tài chính khác mà chúng tôi đã nghiên cứu trước đây". Các quyền mà Trojan ngân hàng cung cấp sẽ cho phép chúng có khả năng nhận bất kỳ mã xác thực hai yếu tố nào được gửi qua SMS hoặc chạy trong nền và khởi chạy các cuộc tấn công lừa đảo.

Ngoài ra, chúng còn có thể chiếm quyền tương tác từ xa với thiết bị, chẳng hạn như chụp nội dung trên màn hình và truy cập các dịch vụ trợ năng, cho phép các tác nhân đe dọa tương tác với các ứng dụng khác trên thiết bị, bao gồm cả các ứng dụng tài chính.

Tính cho đến thời điểm hiện nay, người dùng từ ít nhất 17 quốc gia đã bị ảnh hưởng bởi loại Trojan mới này.

Các ứng dụng thu hút mã độc AbstractEmu được phân phối trên các cửa hàng ứng dụng chứa mã sẽ cố gắng xác định ứng dụng đang được chạy trong môi trường giả lập hay trên thiết bị thực. Đây là một chiến thuật tránh bị phát hiện quan trọng.

Khi ứng dụng được xác định đang chạy trên một thiết bị thực, mã độc sẽ bắt đầu giao tiếp với máy chủ và tải lên thông tin bổ sung về thiết bị bao gồm nhà sản xuất, kiểu máy, phiên bản, số sê-ri, số điện thoại, địa chỉ IP, múi giờ và thông tin tài khoản.

Sau đó, máy chủ sẽ sử dụng những thông tin của thiết bị để xác định xem ứng dụng có nên root thiết bị hay không, có được đầy đủ các đặc quyền quản trị hay không.

Nếu thực hiện root thành công, các tập lệnh sẽ âm thầm cài đặt phần mềm gián điệp được "ngụy trang" dưới dạng trình quản lý lưu trữ có tên là "Setting Storage", kèm theo quyền truy cập vào danh bạ, nhật ký cuộc gọi, tin nhắn SMS, vị trí, máy ảnh và microphone của người dùng và thực hiện những mục đích xấu.

Thiết bị di động là công cụ hoàn hảo để tội phạm mạng khai thác, vì chúng có vô số chức năng và chứa một lượng lớn dữ liệu nhạy cảm. Và rõ ràng, root thiết bị Android hoặc bẻ khóa thiết bị iOS vẫn là những cách phổ biến mà tin tặc thực hiện để xâm nhập hoàn toàn vào thiết bị di động.

Trong những năm gần đây, nhiều nhà sản xuất Android đã đạt được tiến bộ khi phát hành các bản cập nhật bảo mật Android kịp thời, nhưng sự phân mảnh hệ sinh thái Android vẫn còn là một vấn đề.

Các nhà sản xuất có nhiều dòng sản phẩm với các chipset khác nhau và chương trình cơ sở tùy chỉnh cho từng loại, vì vậy ngay cả khi Google phát hành các bản vá lỗi hàng tháng, việc tích hợp các bản vá lỗi đó và vận hành các bản cập nhật chương trình cơ sở cho một danh mục thiết bị đa dạng như vậy có thể mất từ vài ngày đến vài tháng.  

Hiện tại vẫn chưa biết ngoài 19 ứng dụng đã được phát hiện liệu còn có những "mục tiêu" nào khác có chứa mã độc hay không. Để đảm bảo an toàn cho thiết bị của mình, người dùng Android đang sử dụng bất kỳ ứng dụng nào nằm trong danh sách trên thì cần kiểm tra tên gọi thông qua Google Play, địa chỉ URL, nếu tên trùng với danh sách liệt kê thì nên thực hiện gỡ ứng dụng đó khỏi máy và cách tốt nhất là cài đặt lại thiết bị của mình.

Minh Thùy (T/h)