Các nhà nghiên cứu cho biết: "Clast82 sử dụng một loạt kỹ thuật để tránh Google Play Protect phát hiện, vượt qua việc đánh giá trước khi thả hai payload độc hại là AlienBot Banker và MRAT".
Các ứng dụng này đã được sử dụng cho chiến dịch gồm Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, tooltipnatorlibrary và QRecorder. Được biết, các ứng dụng giả mạo đã bị xóa khỏi Google Play Store ngày 09/02/2021.
Mã độc đã sử dụng nhiều phương pháp khác nhau để vượt qua cơ chế kiểm tra của Google, bao gồm mã hóa để ẩn các string tránh bị các công cụ phân tích phát hiện, tạo phiên bản giả mạo của ứng dụng hợp pháp hoặc tạo ra các đánh giá giả để thu hút người dùng tải xuống. Điều đó cho thấy tin tặc liên tục phát triển các kỹ thuật mới nhằm vượt qua nỗ lực của Google trong việc bảo mật nền tảng của hãng.
Clast82 sử dụng Firebase làm nền tảng cho giao tiếp C2 và sử dụng GitHub để tải xuống các payload độc hại. Ngoài ra, nó còn tận dụng các ứng dụng Android nguồn mở hợp pháp để chèn Dropper.
Các nhà nghiên cứu phân tích: "Đối với mỗi ứng dụng tin tặc tạo tài khoản nhà phát triển mới trên Google Play, cùng một kho lưu trữ trên GitHub, từ đó có thể phân phối các payload khác nhau cho các thiết bị đã bị nhiễm".
Trong trường hợp chức năng cài đặt app từ nguồn không rõ ràng bị tắt, Clast82 liên tục thúc giục người dùng năm giây một lần bằng lời nhắc Dịch vụ Google Play giả để người dùng kích hoạt chức năng, cuối cùng sử dụng chức năng đó để cài đặt AlienBot, một mã độc ngân hàng Android có khả năng đánh cắp thông tin xác thực và mã xác thực hai yếu tố từ các ứng dụng tài chính.
Tháng 02/2021, một ứng dụng máy quét mã vạch phổ biến với hơn 10 triệu lượt cài đặt đã trở thành công cụ lừa đảo sau khi cập nhật thay đổi nhà phát triển.
Trong một diễn biến tương tự, một tiện ích mở rộng của Chrome có tên The Great Suspender đã bị vô hiệu hóa sau khi có báo cáo cho rằng tiện ích bổ sung này đã lén lút thêm các tính năng có thể bị khai thác để thực thi mã tùy ý từ một máy chủ từ xa.
Hacker đứng sau Clast82 đã có thể vượt qua lớp bảo vệ của Google Play bằng cách sử dụng một phương pháp sáng tạo nhưng rất đáng quan tâm. Chỉ với một thao tác đơn giản đối với các tài nguyên sẵn có của bên thứ 3 như tài khoản GitHub hoặc tài khoản FireBase, hacker đã có thể tận dụng các tài nguyên sẵn có để vượt qua các cơ chế bảo vệ của Google Play. Qua đó, các nạn nhân nghĩ rằng mình đang tải xuống một ứng dụng tiện ích vô hại từ kho chính thống, nhưng thực chất lại là một trojan nguy hiểm.
Mai Hương
08:00 | 12/04/2021
13:00 | 03/02/2021
08:00 | 14/06/2021
09:00 | 16/07/2021
14:00 | 22/12/2020
13:00 | 20/05/2021
07:00 | 24/05/2021
11:00 | 22/08/2020
15:00 | 18/09/2024
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
13:00 | 11/11/2024
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
14:00 | 11/10/2024
Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.
12:00 | 03/10/2024
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025