Lỗ hổng CVE-2019-2215 đã được phát hiện vào cuối năm 2019 khi nó bị khai thác trong thực tế. Các nhà nghiên cứu thuộc Nhóm phân tích mối đe dọa của Google và các đơn vị khác tin rằng, việc khai thác bắt đầu từ NSO Group - một công ty có trụ sở tại Israel chuyên về phần mềm giám sát hợp pháp. Phần mềm gián điệp di động Pegasus của công ty đã bị lạm dụng để theo dõi “kẻ thù”.
Vào thời điểm đó, nhóm Android đánh giá lỗ hổng này có mức độ nghiêm trọng cao và chỉ ra rằng, ứng dụng độc hại phải được cài đặt trên thiết bị đích để thực hiện khai thác.
Các ứng dụng độc hại mới được phát hiện
Các nhà nghiên cứu của hãng bảo mật Trend Micro đã phát hiện ra ba ứng dụng độc hại trên Google Play: Camero dưới dạng ứng dụng ảnh; FileCrypt dưới dạng ứng dụng quản lý tệp; callCam dưới dạng ứng dụng gọi camera.
Hai ứng dụng đầu tiên đóng vai trò là phần mềm tải và cài đặt (dropper) ứng dụng thứ ba để thực hiện hành vi gián điệp trực tiếp.
Ứng dụng Camero sẽ tải xuống tệp DEX từ một máy chủ C&C, sau đó tải xuống tệp APK callCam và khai thác lỗ hổng CVE-2019-2215 để giành quyền root của thiết bị, cài đặt ứng dụng callCam và khởi chạy mà không cần bất kỳ sự tương tác hoặc ý thức nào của người dùng.
“Phương thức này chỉ hoạt động trên các thiết bị Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881) và Redmi 6A”, các nhà nghiên cứu lưu ý.
Ứng dụng FileCrypt Manager sẽ yêu cầu người dùng kích hoạt Dịch vụ trợ năng Android. Nếu người dùng kích hoạt, họ sẽ cài đặt và khởi chạy ứng dụng callCam. Ứng dụng callCam ẩn đi biểu tượng sau khi được khởi chạy nên người dùng thường không để ý đến nó.
Ứng dụng này thu thập, mã hóa và gửi lại thông tin cho máy chủ C&C như: vị trí, trạng thái pin, các tệp trên thiết bị, danh sách ứng dụng đã cài đặt, thông tin thiết bị, thông tin cảm biến, thông tin camera, ảnh chụp màn hình, tài khoản, thông tin Wifi, Dữ liệu WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail và Chrome.
Ứng dụng được sử dụng bởi nhóm tin tặc APT do nhà nước tài trợ?
Các chuyên gia cho rằng, các nhóm tin tặc được nhà nước tài trợ có thể lạm dụng Google Play để phát tán các ứng dụng độc hại tới mục tiêu của chúng.
Bởi bộ ba ứng dụng độc hại mới nhất này đã được liên hệ với SideWinder, một nhóm tin tặc đã nhắm vào các mục tiêu quân sự của Pakistan, khi các mục tiêu này kết nối với các máy chủ C&C bị nghi ngờ là nằm trong cơ sở hạ tầng của SideWinder.
Bản vá cho CVE-2019-2215 đã được Google cung cấp gần như ngay sau khi lỗ hổng này lần đầu tiên được phát hiện, nhưng có thể chưa được phổ biến cho mọi người dùng Android.
Người dùng được khuyến nghị là cần cẩn trọng về các ứng dụng mà họ cài đặt trên các thiết bị của mình. Cửa hàng ứng dụng Google Play có thể lưu trữ ít ứng dụng độc hại hơn nhiều so với thị trường ứng dụng của bên thứ ba, tuy nhiên các mối nguy hại trên đó vẫn tồn tại.
T.U
Theo HelpNetSecurity
13:00 | 28/05/2020
09:00 | 29/04/2020
13:00 | 12/02/2020
04:00 | 31/10/2019
10:00 | 21/01/2020
07:00 | 04/10/2021
09:00 | 15/10/2019
09:00 | 25/09/2019
07:00 | 11/01/2023
09:00 | 25/05/2022
10:00 | 06/04/2020
13:00 | 13/09/2024
Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
14:00 | 22/08/2024
Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.
09:00 | 09/08/2024
Theo thông báo được Thủ tướng Pháp Gabriel Attal đưa ra ngày 31/7, Cơ quan An ninh nước này đã phát hiện và ngăn chặn hàng chục vụ tấn công mạng liên quan đến Olympic Paris 2024.
10:00 | 23/07/2024
Ngày 19/7, dịch vụ đám mây Azure, Microsoft 365 và Teams của Microsoft gặp trục trặc khiến hàng nghìn chuyến bay trên toàn cầu bị hoãn, hủy và gây gián đoạn hoạt động tại nhiều sân bay. Nguyên nhân vấn đề được cho là xuất phát từ lỗi trong hệ thống của Công ty an ninh mạng toàn cầu CrowdStrike (Mỹ) - đối tác của Microsoft. Đây được coi là sự cố lớn nhất trong lịch sử với mức độ ảnh hưởng sâu rộng từ giao thông vận tải, ngân hàng đến an ninh, y tế...
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
14:00 | 17/09/2024