Lạm dụng công nghệ WebAPK
Thông thường, khi lây nhiễm phần mềm độc hại trên Android, tin tặc sẽ tìm cách để dụ dỗ người dùng cài đặt tệp APK (Android Package Kit) bất kỳ. Tuy nhiên, kỹ thuật mới này thậm chí còn vô cùng đơn giản vì người dùng Android không cần phải tải ứng dụng độc hại.
Theo báo cáo của các nhà nghiên cứu từ Nhóm Ứng cứu sự cố bảo mật máy tính của Cơ quan giám sát tài chính CSIRT KNF (Ba Lan) cho biết, một chiến dịch tấn công mới được bắt đầu với việc nạn nhân nhận được tin nhắn SMS yêu cầu cập nhật ứng dụng ngân hàng di động của mình. Liên kết trong tin nhắn này thay vì chuyển hướng đến cửa hàng ứng dụng Google Play thì nó dẫn đến một trang web sử dụng công nghệ WebAPK để cài đặt ứng dụng độc hại trên thiết bị của nạn nhân.
Ứng dụng mạo danh PKO Bank Polski, một công ty dịch vụ tài chính và ngân hàng đa quốc gia có trụ sở tại Warsaw. Chi tiết về chiến dịch lần đầu tiên được chia sẻ bởi công ty an ninh mạng RIFFSEC của Ba Lan.
WebAPK cho phép người dùng cài đặt các ứng dụng web lũy tiến PWA (một loại ứng dụng web có thể hoạt động như một trang web và ứng dụng dành cho thiết bị di động) vào màn hình chính của họ trên Android mà không cần phải thông qua Google Play.
Khi người dùng thêm PWA vào màn hình chính trên Android, Chrome sẽ tự động tạo APK cho người dùng được gọi là WebAPK. Việc được cài đặt qua APK giúp ứng dụng của người dùng có thể hiển thị trong trình khởi chạy ứng dụng.
"Quá trình đó cần có thời gian nhưng khi APK đã sẵn sàng, trình duyệt sẽ cài đặt ứng dụng đó một cách âm thầm trên thiết bị của người dùng. Vì các nhà cung cấp đáng tin cậy (Play Services hoặc Samsung) đã ký số APK nên điện thoại sẽ cài đặt APK đó mà không tắt tính năng bảo mật", Google cho biết.
Sau khi được cài đặt, ứng dụng ngân hàng giả mạo khuyến khích người dùng nhập thông tin đăng nhập và mã thông báo xác thực hai yếu tố (2FA), cho phép tin tặc có thể xâm phạm tài khoản ngân hàng của nạn nhân.
Không giống như các ứng dụng độc hại khác, những ứng dụng được phân phối theo cách này đặc biệt khó theo dõi đối với các nhà nghiên cứu bảo mật, vì các ứng dụng WebAPK có tên gói và checksum khác nhau trên mỗi thiết bị mà chúng được cài đặt.
Sự phát triển diễn ra khi hãng bảo mật Resecurity tiết lộ rằng tội phạm mạng đang ngày càng tận dụng các công cụ giả mạo chuyên dụng dành cho Android được bán trên darkweb, nhằm mạo danh chủ tài khoản bị xâm phạm và vượt qua các biện pháp kiểm soát bảo mật.
Cách giữ an toàn trước các ứng dụng Android độc hại
Để tránh trở thành nạn nhân từ các ứng dụng độc hại, người dùng cần đặc biệt cẩn trọng khi cài đặt ứng dụng mới hoặc cập nhật ứng dụng hiện có.
Các chuyên gia khuyến cáo người dùng không nên tải bất kỳ ứng dụng lạ nào mà thay vào đó chỉ nên cài đặt ứng dụng từ các cửa hàng ứng dụng chính thức như Google Play, Amazon hay Samsung Galaxy. Tải ứng dụng từ các nguồn bên ngoài có thể thuận tiện nhưng người dùng sẽ không biết liệu tệp APK có độc hại hay không, vì chúng không được trải qua quá trình kiểm tra bảo mật như trên các cửa hàng ứng dụng Android chính thức.
Để bảo vệ khỏi các ứng dụng độc hại được phân phối bằng WebAPK, người dùng nên tránh nhấp vào bất kỳ liên kết nào từ các thông báo đáng ngờ hoặc cửa sổ bật lên yêu cầu người dùng cần cập nhật một ứng dụng cụ thể. Các bản cập nhật giả mạo thường được tin tặc sử dụng để phát tán phần mềm độc hại.
Người dùng nên đảm bảo rằng tính năng Google Play Protect được bật vì ứng dụng chống virus miễn phí này đi kèm với hầu hết các điện thoại Android, nó sẽ quét cả ứng dụng mới cũng như ứng dụng hiện có của người dùng để tìm phần mềm độc hại. Tuy nhiên, để tăng cường khả năng bảo mật thì người dùng cũng nên cân nhắc sử dụng một trong những ứng dụng chống virus Android tốt nhất bên cạnh Google Play Protect.
Quốc Trung
14:00 | 13/07/2023
13:00 | 29/06/2023
08:00 | 11/06/2024
10:00 | 07/04/2023
07:00 | 17/10/2024
Các tin tặc Triều Tiên mới đây đã bị phát hiện đang phân phối một Trojan truy cập từ xa (RAT) và backdoor chưa từng được ghi nhận trước đây có tên là VeilShell, như một phần của chiến dịch tấn công mạng nhắm vào các cơ quan, tổ chức tại Campuchia và các quốc gia Đông Nam Á khác.
09:00 | 11/10/2024
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
09:00 | 09/08/2024
Theo thông báo được Thủ tướng Pháp Gabriel Attal đưa ra ngày 31/7, Cơ quan An ninh nước này đã phát hiện và ngăn chặn hàng chục vụ tấn công mạng liên quan đến Olympic Paris 2024.
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024