Lạm dụng công nghệ WebAPK
Thông thường, khi lây nhiễm phần mềm độc hại trên Android, tin tặc sẽ tìm cách để dụ dỗ người dùng cài đặt tệp APK (Android Package Kit) bất kỳ. Tuy nhiên, kỹ thuật mới này thậm chí còn vô cùng đơn giản vì người dùng Android không cần phải tải ứng dụng độc hại.
Theo báo cáo của các nhà nghiên cứu từ Nhóm Ứng cứu sự cố bảo mật máy tính của Cơ quan giám sát tài chính CSIRT KNF (Ba Lan) cho biết, một chiến dịch tấn công mới được bắt đầu với việc nạn nhân nhận được tin nhắn SMS yêu cầu cập nhật ứng dụng ngân hàng di động của mình. Liên kết trong tin nhắn này thay vì chuyển hướng đến cửa hàng ứng dụng Google Play thì nó dẫn đến một trang web sử dụng công nghệ WebAPK để cài đặt ứng dụng độc hại trên thiết bị của nạn nhân.
Ứng dụng mạo danh PKO Bank Polski, một công ty dịch vụ tài chính và ngân hàng đa quốc gia có trụ sở tại Warsaw. Chi tiết về chiến dịch lần đầu tiên được chia sẻ bởi công ty an ninh mạng RIFFSEC của Ba Lan.
WebAPK cho phép người dùng cài đặt các ứng dụng web lũy tiến PWA (một loại ứng dụng web có thể hoạt động như một trang web và ứng dụng dành cho thiết bị di động) vào màn hình chính của họ trên Android mà không cần phải thông qua Google Play.
Khi người dùng thêm PWA vào màn hình chính trên Android, Chrome sẽ tự động tạo APK cho người dùng được gọi là WebAPK. Việc được cài đặt qua APK giúp ứng dụng của người dùng có thể hiển thị trong trình khởi chạy ứng dụng.
"Quá trình đó cần có thời gian nhưng khi APK đã sẵn sàng, trình duyệt sẽ cài đặt ứng dụng đó một cách âm thầm trên thiết bị của người dùng. Vì các nhà cung cấp đáng tin cậy (Play Services hoặc Samsung) đã ký số APK nên điện thoại sẽ cài đặt APK đó mà không tắt tính năng bảo mật", Google cho biết.
Sau khi được cài đặt, ứng dụng ngân hàng giả mạo khuyến khích người dùng nhập thông tin đăng nhập và mã thông báo xác thực hai yếu tố (2FA), cho phép tin tặc có thể xâm phạm tài khoản ngân hàng của nạn nhân.
Không giống như các ứng dụng độc hại khác, những ứng dụng được phân phối theo cách này đặc biệt khó theo dõi đối với các nhà nghiên cứu bảo mật, vì các ứng dụng WebAPK có tên gói và checksum khác nhau trên mỗi thiết bị mà chúng được cài đặt.
Sự phát triển diễn ra khi hãng bảo mật Resecurity tiết lộ rằng tội phạm mạng đang ngày càng tận dụng các công cụ giả mạo chuyên dụng dành cho Android được bán trên darkweb, nhằm mạo danh chủ tài khoản bị xâm phạm và vượt qua các biện pháp kiểm soát bảo mật.
Cách giữ an toàn trước các ứng dụng Android độc hại
Để tránh trở thành nạn nhân từ các ứng dụng độc hại, người dùng cần đặc biệt cẩn trọng khi cài đặt ứng dụng mới hoặc cập nhật ứng dụng hiện có.
Các chuyên gia khuyến cáo người dùng không nên tải bất kỳ ứng dụng lạ nào mà thay vào đó chỉ nên cài đặt ứng dụng từ các cửa hàng ứng dụng chính thức như Google Play, Amazon hay Samsung Galaxy. Tải ứng dụng từ các nguồn bên ngoài có thể thuận tiện nhưng người dùng sẽ không biết liệu tệp APK có độc hại hay không, vì chúng không được trải qua quá trình kiểm tra bảo mật như trên các cửa hàng ứng dụng Android chính thức.
Để bảo vệ khỏi các ứng dụng độc hại được phân phối bằng WebAPK, người dùng nên tránh nhấp vào bất kỳ liên kết nào từ các thông báo đáng ngờ hoặc cửa sổ bật lên yêu cầu người dùng cần cập nhật một ứng dụng cụ thể. Các bản cập nhật giả mạo thường được tin tặc sử dụng để phát tán phần mềm độc hại.
Người dùng nên đảm bảo rằng tính năng Google Play Protect được bật vì ứng dụng chống virus miễn phí này đi kèm với hầu hết các điện thoại Android, nó sẽ quét cả ứng dụng mới cũng như ứng dụng hiện có của người dùng để tìm phần mềm độc hại. Tuy nhiên, để tăng cường khả năng bảo mật thì người dùng cũng nên cân nhắc sử dụng một trong những ứng dụng chống virus Android tốt nhất bên cạnh Google Play Protect.
Quốc Trung
14:00 | 13/07/2023
13:00 | 29/06/2023
10:00 | 07/04/2023
09:00 | 03/05/2024
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024