Tệp tin thực thi độc hại có khả năng thêm trình theo dõi thao tác bàn phím (key-logger) vào hệ thống Windows. Các nhà nghiên cứu cũng nghi ngờ rằng chính những người phát triển ứng dụng đã vô tình tiếp tay cho kẻ xấu bằng việc viết ứng dụng trên hệ thống Windows bị nhiễm độc. Tuy nhiên, cùng một tác giả nhưng có ứng dụng bị nhiễm độc, có ứng dụng không. Vì vậy, nhà phát triển ứng dụng có thể đã sử dụng nhiều môi trường và hệ thống khác nhau.
Các tệp tin .apk độc hại không ảnh hưởng tới thiết bị Android, vì chúng chỉ chạy trên hệ điều hành Windows nên khi tải về trên Android thì không có tác dụng. Việc các tệp tin .apk bị nhiễm độc chứng tỏ nhà phát triển ứng dụng đã sử dụng hệ điều hành Windows chứa phần mềm độc hại.
Trình theo dõi thao tác bàn phím bị nhúng vào các ứng dụng độc hại có thể ghi lại thao tác bàn phím trên hệ thống Windows, bao gồm những thông tin nhạy cảm như số thẻ tín dụng, số thẻ căn cước công dân và các loại mật khẩu. Những tệp tin thực thi độc hại có tên giả như Android.exe, my music.exe và gallery.exe,… khiến người dùng không nghi ngờ.
Một khi được tải về, tệp tin thực thi độc hại tự khởi chạy có thể tiến hành các thao tác trên hệ thống Windows như tạo tệp tin thực thi và tệp tin ẩn trong Windows, đổi chế độ của thiết bị thành tự khởi chạy sau khi khởi động lại và thực hiện kết nối mạng tới địa chỉ IP 87.98.185.184 thông qua cổng 8829.
Một số ứng dụng bị ảnh hưởng bao gồm ứng dụng dạy vẽ và thiết kế quần áo (Learn to Draw Clothing), ứng dụng ảnh về ý tưởng độ xe đạp địa hình (Modification Trail), ứng dụng gợi ý các bài tập thể dục và chăm sóc sức khỏe (Gymnastics Training Tutorial),…
Mặc dù các tệp thực thi độc hại này không thể chạy trực tiếp trên Android, nhưng chúng vẫn là mối nguy hiểm cho chuỗi cung ứng phần mềm và các nhà phát triển phần mềm trên hệ điều hành Windows. Các nhà phát triển ứng dụng đã trở thành mục tiêu của nhiều cuộc tấn công diện rộng, trong đó có cuộc tấn công KeRanger, XcodeGhost và chiến dịch NotPetya.
Hầu hết ứng dụng bị nhiễm độc được tung ra thị trường từ tháng 10 đến tháng 11/2017, có nghĩa là các ứng dụng đã tồn tại hơn nửa năm. Một vài ứng dụng có hơn 1000 lượt tải và đánh giá 4 sao. Những ứng dụng này đã bị gỡ khỏi cửa hàng ứng dụng Google Play và Google không bình luận gì về vụ việc này.
ĐT (theo SecurityBox)
08:38 | 19/06/2017
13:52 | 12/09/2017
07:00 | 29/12/2017
09:00 | 03/05/2024
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024