Cẩn thận! Nếu bạn có bất kỳ trình quản lý tệp và ứng dụng chụp ảnh nào được đề cập dưới đây được cài đặt trên điện thoại Android của bạn ngay cả khi được tải xuống từ Google Store chính thức, bạn đã bị hack và bị theo dõi.
Các ứng dụng Android độc hại mới được phát hiện là Camero, FileCrypt và callCam được cho là có liên quan đến Sidewinder APT, một nhóm hack tinh vi chuyên tấn công gián điệp mạng.
Theo các nhà nghiên cứu về an ninh mạng tại Trend Micro, các ứng dụng này đã khai thác lỗ hổng nghiêm trọng sau khi sử dụng miễn phí trong Android ít nhất là từ tháng 3 năm ngoái. Đó là 7 tháng trước khi lỗ hổng tương tự được phát hiện lần đầu tiên là zero-day khi nhà nghiên cứu Google phân tích riêng biệt cuộc tấn công được phát triển bởi nhà cung cấp giám sát NSO của Israel.
“Chúng tôi suy đoán rằng các ứng dụng này đã hoạt động kể từ tháng 3 năm 2019 dựa trên thông tin chứng chỉ trên một trong các ứng dụng”, các nhà nghiên cứu cho biết.
Được theo dõi là CVE-2019-2215, lỗ hổng là vấn đề leo thang đặc quyền cục bộ cho phép thỏa hiệp gốc của thiết bị dễ bị tổn thương và cũng có thể bị khai thác từ xa khi kết hợp với lỗ hổng kết xuất trình duyệt riêng.
Phần mềm gián điệp này bí mật root điện thoại Android của bạn
Theo Trend Micro, FileCrypt Manager và Camero đóng vai trò là người thả và kết nối với một máy chủ chỉ huy và điều khiển từ xa để tải xuống tệp DEX, sau đó tải xuống ứng dụng callCam và cố gắng cài đặt nó bằng cách khai thác các lỗ hổng leo thang đặc quyền hoặc lạm dụng tính năng trợ năng.
Các nhà nghiên cứu cho biết: “Tất cả những điều này được thực hiện mà không có sự nhận biết hoặc can thiệp của người dùng. Để tránh bị phát hiện, nó sử dụng nhiều kỹ thuật như che giấu, mã hóa dữ liệu và gọi mã động”.
Sau khi cài đặt, CallCam ẩn biểu tượng của nó khỏi menu, thu thập thông tin sau từ thiết bị bị xâm nhập và gửi lại cho máy chủ C&C của kẻ tấn công trong nền:
Vị trí
Trạng thái pin
Tập tin trên thiết bị
Danh sách ứng dụng đã cài đặt
Thông tin thiết bị
Thông tin cảm biến
Thông tin camera
Ảnh chụp màn hình
Tài khoản
Thông tin wifi
Dữ liệu từ WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail và Chrome.
Bên cạnh CVE-2019-2215, các ứng dụng độc hại cũng cố gắng khai thác một lỗ hổng riêng biệt trong trình điều khiển MediaTek-SU để có được quyền root và kiên trì trên một loạt các thiết bị cầm tay Android.
Dựa trên sự chồng chéo về vị trí của các máy chủ chỉ huy và kiểm soát, các nhà nghiên cứu đã quy kết chiến dịch cho SideWinder, được cho là một nhóm gián điệp Ấn Độ nhắm vào các tổ chức lịch sử liên kết với Quân đội Pakistan.
Cách bảo vệ điện thoại Android khỏi phần mềm độc hại
Google hiện đã xóa tất cả các ứng dụng độc hại nêu trên khỏi Play Store, nhưng vì các hệ thống của Google không đủ để ngăn chặn các ứng dụng xấu ra khỏi cửa hàng chính thức, bạn phải rất cẩn thận trong việc tải xuống ứng dụng.
Để kiểm tra xem thiết bị của bạn có bị nhiễm phần mềm độc hại này hay không, hãy truy cập cài đặt hệ thống Android → Trình quản lý ứng dụng, tìm tên gói được liệt kê và gỡ cài đặt.
Để bảo vệ thiết bị của bạn trước hầu hết các mối đe dọa trên mạng, bạn nên thực hiện các biện pháp phòng ngừa đơn giản nhưng hiệu quả như:
Giữ cho các thiết bị và ứng dụng được cập nhật.
Tránh tải xuống ứng dụng từ các nguồn không quen thuộc.
Luôn chú ý đến các quyền mà ứng dụng yêu cầu.
Thường xuyên sao lưu dữ liệu.
Cài đặt ứng dụng chống vi-rút tốt bảo vệ chống lại phần mềm độc hại này và các mối đe dọa tương tự.
Để ngăn mình khỏi bị nhắm mục tiêu bởi các ứng dụng như vậy, hãy luôn cẩn thận với các ứng dụng tanh, ngay cả khi tải xuống từ Google Play Store và chỉ cố gắng bám vào các thương hiệu đáng tin cậy. Ngoài ra, luôn luôn xem xét các đánh giá ứng dụng do những người dùng khác đã tải xuống ứng dụng để lại và cũng xác minh các quyền của ứng dụng trước khi cài đặt bất kỳ ứng dụng nào và chỉ cấp các quyền đó có liên quan cho mục đích của ứng dụng.
