Bằng cách giám sát các trang web đen và diễn đàn ngầm, từ năm 2019 đến 2023, các chuyên gia của Kaspersky đã thu thập thông tin từ nhiều diễn đàn phổ biến nhất về việc mua bán phần mềm và dịch vụ liên quan đến mã độc và đưa ra một số thông tin cụ thể về thị trường này.
- Giá của một ứng dụng độc hại có thể phân phối tới Google Play nằm trong khoảng từ 2.000 đến 20.000 USD.
- Để giữ các hoạt động giao dịch ít bị biết đến, phần lớn những kẻ tấn công trao đổi thông tin qua tin nhắn cá nhân trên các diễn đàn và các nền tảng ứng dụng nhắn tin, ví dụ như Telegram.
- Các loại ứng dụng phổ biến nhất để ẩn phần mềm độc hại bao gồm ứng dụng theo dõi tiền điện tử, ứng dụng quản lý tài chính, máy quét mã QR và thậm chí cả ứng dụng hẹn hò.
- Tin tặc chấp nhận ba cách thức thanh toán chính: thanh toán theo tỷ lệ phần trăm của lợi nhuận, thanh toán theo từng kỳ và thanh toán một lần.
- Tin tặc thường khởi chạy quảng cáo Google để thu hút nhiều người tải xuống các ứng dụng độc hại. Chi phí quảng cáo tuỳ thuộc vào từng quốc gia bị nhắm mục tiêu.
Bước đầu tiên trong quy trình và được cho là nguy hiểm nhất đối với người dùng cuối là chiếm quyền điều khiển tài khoản. Tin tặc có thể trả từ 25 đến 80 USD để mua tài khoản Google Play hoặc đăng ký bằng thông tin đăng nhập đã bị đánh cắp. Điều này cho phép chúng chuyển đổi các ứng dụng đáng tin cậy thành bước đệm cho phần mềm độc hại.
Sau khi có được tài khoản, tin tặc sẽ tải lên một ứng dụng nhưng không vội sử dụng phần mềm gián điệp, điều này được cho là sẽ giúp chúng tránh khỏi sự chú ý của Google và triển khai kế hoạch tích lũy đủ số lượt tải xuống từ người dùng. Không dừng lại ở đó, tin tặc cũng cung cấp các dịch vụ giúp tăng số lượt tải và khởi chạy các chiến dịch quảng cáo của Google để làm cho các ứng dụng lừa đảo trông có vẻ hợp pháp hơn.
Sau đó, tin tặc có thể sử dụng các trình tải (loader) để phân phối mã độc hại tới các thiết bị đầu cuối thông qua các bản cập nhật của ứng dụng. Khi đó, ứng dụng sẽ yêu cầu người dùng cấp phép tải xuống hoặc thông tin khác từ các nguồn bên ngoài Google Play, khi có quyền, chúng sẽ lây nhiễm hoàn toàn vào thiết bị để chiếm toàn quyền kiểm soát hoặc đánh cắp thông tin. Các ứng dụng bị xâm phạm đôi khi sẽ ngừng hoạt động cho đến khi người dùng cấp quyền tải xuống toàn bộ những thành phần độc hại.
Để tăng cơ hội lây nhiễm, tin tặc còn bán các dịch vụ “ẩn tránh” nhằm làm phức tạp hóa các gói tải xuống để tăng cường khả năng chống lại lớp bảo mật của Google. Ngoài ra, chúng cũng cung cấp các tùy chọn bằng tệp APK, nhưng tỷ lệ thành công sẽ thấp hơn so với trình tải.
Giống như các thị trường trực tuyến khác, web đen cũng có nhiều dịch vụ dành cho những khách hàng có nhu cầu và ngân sách khác nhau. Sản phẩm chính mà tin tặc mua là tài khoản Google Play của nhà phát triển có thể đã được đăng ký bằng cách sử dụng danh tính bị đánh cắp, mã nguồn của các công cụ khác nhau giúp người mua tải ứng dụng của họ lên Google Play. Ngoài ra, web đen còn có các dịch vụ như máy chủ riêng ảo (VPS) mà tin tặc sử dụng để kiểm soát điện thoại bị nhiễm, chuyển hướng lưu lượng truy cập của người dùng hoặc lây nhiễm mã độc,...
Hình 1. Danh sách một số phần mềm độc hại được rao bán trên web đen
Trong hầu hết các trường hợp, tin tặc thường mua trình tải Google Play với mục đích đưa phần mềm độc hại vào ứng dụng. Sau đó, ứng dụng này được cập nhật trên Google Play và nạn nhân có thể tải ứng dụng chứa phần mềm độc hại xuống điện thoại của họ. Tùy thuộc vào những gì tin tặc cài đặt trong ứng dụng, người dùng có thể nhận thông báo yêu cầu bật cài đặt ứng dụng không xác định và cài đặt từ nguồn bên ngoài. Sau khi cài đặt ứng dụng, người dùng được yêu cầu cấp quyền truy cập dữ liệu chính từ điện thoại, chẳng hạn như máy ảnh, micro,… Nạn nhân có thể không sử dụng được các tính năng hợp pháp của ứng dụng cho đến khi đồng ý cấp các quyền, những quyền này sẽ cho phép tin tặc thực hiện các hoạt động độc hại.
Hình 2. Danh sách một số phần mềm độc hại được rao bán trên Google Play
Các dịch vụ ràng buộc cũng là mục tiêu thường được giao dịch trên web đen. Về bản chất, chúng thực hiện ẩn tệp APK độc hại hoặc không mong muốn trong một ứng dụng hợp pháp, được phân phối thông qua các tin nhắn lừa đảo, các trang web có trò chơi hoặc phần mềm bị bẻ khóa. Vì các dịch vụ liên kết có tỷ lệ cài đặt thành công thấp hơn so với các trình tải, nên hai dịch vụ này khác nhau rất nhiều về giá: một trình tải có thể có giá khoảng 5.000 USD, trong khi một dịch vụ liên kết thường có giá khoảng 50 đến 100 USD cho mỗi tệp.
Mục đích của dịch vụ này là vượt qua các hệ thống bảo mật bằng cách làm phức tạp mã độc hại. Trong trường hợp này, người mua phải trả phí cho việc xử lý một ứng dụng hoặc cho việc đăng ký thành viên. Nhà cung cấp dịch vụ thậm chí có thể giảm giá cho việc mua các gói. Ví dụ: chi phí khi mua dịch vụ xử lý một tệp là khoảng 30 USD, nhưng nếu người mua bỏ ra 440 USD sẽ được cung cấp dịch vụ mã hóa 50 tệp.
Hình 3. Người bán chỉ định giá thực hiện riêng cho từng quốc gia
Để tăng số lượt tải xuống ứng dụng độc hại, nhiều tin tặc đề nghị mua lượt cài đặt bằng cách tăng lưu lượng truy cập ứng dụng thông qua quảng cáo của Google. Không giống như các dịch vụ trên web đen khác, dịch vụ này hoàn toàn hợp pháp và được sử dụng để thu hút càng nhiều lượt tải xuống ứng dụng càng tốt, bất kể đó là ứng dụng vẫn hợp pháp hay ứng dụng đã bị nhiễm mã độc. Chi phí thực hiện phụ thuộc vào quốc gia mục tiêu.
Google Play là kho ứng dụng lớn và phổ biến, giúp người dùng có thể tìm thấy các ứng dụng giải trí, tiện ích phục vụ đa dạng nhu cầu của nhiều lứa tuổi. Dù được kiểm duyệt chặt chẽ nhưng đôi khi, trên Google Play vẫn tồn tại những ứng dụng chứa mã độc và ngày càng xuất hiện nhiều hơn. Các ứng dụng độc hại được tải lên Google Play thông qua các dịch vụ hỗ trợ trên web đen là mối nguy hại vô cùng lớn, đe doạ đến an ninh, an toàn thông tin. Người dùng cần phải cẩn trọng và có những kỹ năng cần thiết để phòng tránh và bảo vệ thiết bị khi tải cũng như sử dụng các ứng dụng này. Biện pháp đơn giản nhất cho người dùng để tránh bị tấn công là không bao giờ cho phép Google Play tải xuống bất kỳ thứ gì từ bên ngoài. Đồng thời, cẩn thận với những quyền cấp cho ứng dụng.
TÀI LIỆU THAM KHẢO [1]. https://securelist.com/google-play-threats-on-the-dark-web/109452/. [2]. https://www.techspot.com/news/98278-dark-web-cybercriminals-selling-services-hack-google-play.html. |
Thanh Bình
10:00 | 10/04/2024
08:00 | 11/06/2020
16:00 | 21/07/2023
15:00 | 29/10/2024
13:00 | 29/06/2023
14:00 | 28/10/2024
09:00 | 18/11/2024
Tin tặc đang lợi dụng cụm từ tìm kiếm "Mèo Bengal có hợp pháp ở Úc không" trên Google để phát tán phần mềm độc hại, gây nguy hiểm cho thiết bị của người dùng.
07:00 | 17/11/2024
Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam VNCERT/CC (Cục An toàn thông tin, Bộ TT&TT) vừa tiếp tục cảnh báo về mã độc Pygmy Goat, xuất hiện trên các thiết bị SOPHOS FIREWALL nhắm vào các chuyên gia kinh tế số.
13:00 | 11/11/2024
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
10:00 | 25/10/2024
Các cơ quan chính phủ tại Mỹ, Úc và Canada đưa ra cảnh báo các tác nhân đe dọa được nhà nước Iran bảo trợ sử dụng kỹ thuật tấn công Brute Force và nhiều phương thức khác để triển khai các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng.
Công ty an ninh mạng VulnCheck (Mỹ) vừa qua đã lên tiếng cảnh báo rằng, tin tặc có thể đang khai thác một lỗ hổng bảo mật nghiêm trọng trên các máy chủ ProjectSend, vốn đã được vá cách đây khoảng một năm.
10:00 | 04/12/2024