Tệp tin thực thi độc hại có khả năng thêm trình theo dõi thao tác bàn phím (key-logger) vào hệ thống Windows. Các nhà nghiên cứu cũng nghi ngờ rằng chính những người phát triển ứng dụng đã vô tình tiếp tay cho kẻ xấu bằng việc viết ứng dụng trên hệ thống Windows bị nhiễm độc. Tuy nhiên, cùng một tác giả nhưng có ứng dụng bị nhiễm độc, có ứng dụng không. Vì vậy, nhà phát triển ứng dụng có thể đã sử dụng nhiều môi trường và hệ thống khác nhau.
Các tệp tin .apk độc hại không ảnh hưởng tới thiết bị Android, vì chúng chỉ chạy trên hệ điều hành Windows nên khi tải về trên Android thì không có tác dụng. Việc các tệp tin .apk bị nhiễm độc chứng tỏ nhà phát triển ứng dụng đã sử dụng hệ điều hành Windows chứa phần mềm độc hại.
Trình theo dõi thao tác bàn phím bị nhúng vào các ứng dụng độc hại có thể ghi lại thao tác bàn phím trên hệ thống Windows, bao gồm những thông tin nhạy cảm như số thẻ tín dụng, số thẻ căn cước công dân và các loại mật khẩu. Những tệp tin thực thi độc hại có tên giả như Android.exe, my music.exe và gallery.exe,… khiến người dùng không nghi ngờ.
Một khi được tải về, tệp tin thực thi độc hại tự khởi chạy có thể tiến hành các thao tác trên hệ thống Windows như tạo tệp tin thực thi và tệp tin ẩn trong Windows, đổi chế độ của thiết bị thành tự khởi chạy sau khi khởi động lại và thực hiện kết nối mạng tới địa chỉ IP 87.98.185.184 thông qua cổng 8829.
Một số ứng dụng bị ảnh hưởng bao gồm ứng dụng dạy vẽ và thiết kế quần áo (Learn to Draw Clothing), ứng dụng ảnh về ý tưởng độ xe đạp địa hình (Modification Trail), ứng dụng gợi ý các bài tập thể dục và chăm sóc sức khỏe (Gymnastics Training Tutorial),…
Mặc dù các tệp thực thi độc hại này không thể chạy trực tiếp trên Android, nhưng chúng vẫn là mối nguy hiểm cho chuỗi cung ứng phần mềm và các nhà phát triển phần mềm trên hệ điều hành Windows. Các nhà phát triển ứng dụng đã trở thành mục tiêu của nhiều cuộc tấn công diện rộng, trong đó có cuộc tấn công KeRanger, XcodeGhost và chiến dịch NotPetya.
Hầu hết ứng dụng bị nhiễm độc được tung ra thị trường từ tháng 10 đến tháng 11/2017, có nghĩa là các ứng dụng đã tồn tại hơn nửa năm. Một vài ứng dụng có hơn 1000 lượt tải và đánh giá 4 sao. Những ứng dụng này đã bị gỡ khỏi cửa hàng ứng dụng Google Play và Google không bình luận gì về vụ việc này.
ĐT (theo SecurityBox)
08:38 | 19/06/2017
13:52 | 12/09/2017
07:00 | 29/12/2017
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
07:00 | 11/12/2023
Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báo cáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn công Ducktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
