Ứng dụng Zoom trở nên được quan tâm nhiều hơn trong vài tuần qua, không chỉ do số lượng người dùng sử dụng tăng cao đột biến, mà còn vì các vấn đề bảo mật và quyền riêng tư. Mặc dù vậy, hàng triệu người dùng vẫn đang sử dụng nó cho mục đích hội nghị truyền hình. Đây chính là cơ hội cho tội phạm mạng thực hiện các hành vi độc hại.
Bitdefender đã phát hiện một loại tấn công sử dụng các phiên bản giả mạo Zoom được đóng gói lại, đang được phát tán qua bên thứ ba. Các mẫu độc hại quan sát được chỉ nhắm mục tiêu vào người dùng tải ứng dụng qua bên thứ ba và không được đưa lên Google Play.
Với giao diện người dùng được giả mạo hoàn toàn giống ứng dụng gốc, một trong những phần mềm giả mạo được đóng gói lại vẫn giữ tên giống với bản gốc và thông tin chứng thực gần như giống hệt nhau. Phần mềm độc hại này được thiết kế để tải xuống một payload từ cơ sở hạ tầng C&C tại tcp[:]//googleteamsupport[.]ddns.net:4444.
Tên miền này là một dịch vụ DNS động, cho phép người dùng có địa chỉ IP động ánh xạ nó sang tên miền phụ. Do đó, có thể cung cấp dịch vụ mà không bị gián đoạn, ngay cả khi địa chỉ IP động thay đổi, Bitdefender giải thích.
Hãng bảo mật đã liên kết được tên miền phụ này với sweetman2020[.]no-ip[.]biz, được sử dụng làm máy chủ C&C cho Trojan truy cập từ xa trên Android (RAT) có tên SandoRAT và DroidJack.
Một ứng dụng Zoom được chèn mã độc khác cũng đã được phát hiện, nhắm mục tiêu vào người dùng Trung Quốc. Sau khi cài đặt, ứng dụng yêu cầu quyền truy cập điện thoại, vị trí và hình ảnh. Ứng dụng cũng được thiết kế để hiển thị quảng cáo trên thiết bị của nạn nhân, nhưng chỉ trong thời gian ngắn.
Một mẫu độc hại giả mạo Zoom thứ ba nhắm mục tiêu vào người dùng Android tại Mỹ. Được đặt tên là Zoom Cloud Meetings, ứng dụng sẽ tự ẩn khỏi menu sau khi thực thi, sau đó bắt đầu một cảnh báo lặp đi lặp lại, đưa người dùng ngẫu nhiên tới một dịch vụ quảng cáo.
Sau đó, ứng dụng độc hại này sẽ kiểm tra chuỗi mã hardcorded của tài khoản admin và yêu cầu quyền admin nếu chuỗi đó là đúng. Nếu không, nó sẽ cố gắng tải xuống một tệp khác khi khởi chạy. Mẫu độc hại này có thể yêu cầu quyền admin của thiết bị bằng tiếng Anh hoặc tiếng Nga, tùy thuộc vào ngôn ngữ mặc định của thiết bị. Nó cũng có thể tự khởi động khi thiết bị được bật nguồn.
T.U
Theo SecurityWeek
08:00 | 30/03/2020
08:00 | 19/07/2019
09:00 | 15/04/2020
09:00 | 29/04/2020
22:00 | 30/04/2020
09:00 | 09/03/2015
13:00 | 07/04/2020
07:00 | 24/05/2021
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
10:00 | 21/11/2024
Tòa án liên bang Mỹ tại quận phía Bắc California đã bác vụ kiện cáo buộc Google thu lợi bất chính từ các vụ lừa đảo thẻ quà tặng Google Play.
07:00 | 14/10/2024
Mới đây, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ Thông tin và Truyền thông) đã cảnh báo các chiến dịch tấn công mạng nguy hiểm nhắm vào các tổ chức và doanh nghiệp. Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin nhạy cảm và phá hoại hệ thống.
09:00 | 11/10/2024
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025