Lỗ hổng CVE-2019-2215 đã được phát hiện vào cuối năm 2019 khi nó bị khai thác trong thực tế. Các nhà nghiên cứu thuộc Nhóm phân tích mối đe dọa của Google và các đơn vị khác tin rằng, việc khai thác bắt đầu từ NSO Group - một công ty có trụ sở tại Israel chuyên về phần mềm giám sát hợp pháp. Phần mềm gián điệp di động Pegasus của công ty đã bị lạm dụng để theo dõi “kẻ thù”.
Vào thời điểm đó, nhóm Android đánh giá lỗ hổng này có mức độ nghiêm trọng cao và chỉ ra rằng, ứng dụng độc hại phải được cài đặt trên thiết bị đích để thực hiện khai thác.
Các ứng dụng độc hại mới được phát hiện
Các nhà nghiên cứu của hãng bảo mật Trend Micro đã phát hiện ra ba ứng dụng độc hại trên Google Play: Camero dưới dạng ứng dụng ảnh; FileCrypt dưới dạng ứng dụng quản lý tệp; callCam dưới dạng ứng dụng gọi camera.
Hai ứng dụng đầu tiên đóng vai trò là phần mềm tải và cài đặt (dropper) ứng dụng thứ ba để thực hiện hành vi gián điệp trực tiếp.
Ứng dụng Camero sẽ tải xuống tệp DEX từ một máy chủ C&C, sau đó tải xuống tệp APK callCam và khai thác lỗ hổng CVE-2019-2215 để giành quyền root của thiết bị, cài đặt ứng dụng callCam và khởi chạy mà không cần bất kỳ sự tương tác hoặc ý thức nào của người dùng.
“Phương thức này chỉ hoạt động trên các thiết bị Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881) và Redmi 6A”, các nhà nghiên cứu lưu ý.
Ứng dụng FileCrypt Manager sẽ yêu cầu người dùng kích hoạt Dịch vụ trợ năng Android. Nếu người dùng kích hoạt, họ sẽ cài đặt và khởi chạy ứng dụng callCam. Ứng dụng callCam ẩn đi biểu tượng sau khi được khởi chạy nên người dùng thường không để ý đến nó.
Ứng dụng này thu thập, mã hóa và gửi lại thông tin cho máy chủ C&C như: vị trí, trạng thái pin, các tệp trên thiết bị, danh sách ứng dụng đã cài đặt, thông tin thiết bị, thông tin cảm biến, thông tin camera, ảnh chụp màn hình, tài khoản, thông tin Wifi, Dữ liệu WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail và Chrome.
Ứng dụng được sử dụng bởi nhóm tin tặc APT do nhà nước tài trợ?
Các chuyên gia cho rằng, các nhóm tin tặc được nhà nước tài trợ có thể lạm dụng Google Play để phát tán các ứng dụng độc hại tới mục tiêu của chúng.
Bởi bộ ba ứng dụng độc hại mới nhất này đã được liên hệ với SideWinder, một nhóm tin tặc đã nhắm vào các mục tiêu quân sự của Pakistan, khi các mục tiêu này kết nối với các máy chủ C&C bị nghi ngờ là nằm trong cơ sở hạ tầng của SideWinder.
Bản vá cho CVE-2019-2215 đã được Google cung cấp gần như ngay sau khi lỗ hổng này lần đầu tiên được phát hiện, nhưng có thể chưa được phổ biến cho mọi người dùng Android.
Người dùng được khuyến nghị là cần cẩn trọng về các ứng dụng mà họ cài đặt trên các thiết bị của mình. Cửa hàng ứng dụng Google Play có thể lưu trữ ít ứng dụng độc hại hơn nhiều so với thị trường ứng dụng của bên thứ ba, tuy nhiên các mối nguy hại trên đó vẫn tồn tại.
T.U
Theo HelpNetSecurity
13:00 | 28/05/2020
09:00 | 29/04/2020
13:00 | 12/02/2020
04:00 | 31/10/2019
10:00 | 21/01/2020
07:00 | 04/10/2021
09:00 | 15/10/2019
09:00 | 25/09/2019
07:00 | 11/01/2023
09:00 | 25/05/2022
10:00 | 06/04/2020
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024