Lỗ hổng CVE-2019-2215 đã được phát hiện vào cuối năm 2019 khi nó bị khai thác trong thực tế. Các nhà nghiên cứu thuộc Nhóm phân tích mối đe dọa của Google và các đơn vị khác tin rằng, việc khai thác bắt đầu từ NSO Group - một công ty có trụ sở tại Israel chuyên về phần mềm giám sát hợp pháp. Phần mềm gián điệp di động Pegasus của công ty đã bị lạm dụng để theo dõi “kẻ thù”.
Vào thời điểm đó, nhóm Android đánh giá lỗ hổng này có mức độ nghiêm trọng cao và chỉ ra rằng, ứng dụng độc hại phải được cài đặt trên thiết bị đích để thực hiện khai thác.
Các ứng dụng độc hại mới được phát hiện
Các nhà nghiên cứu của hãng bảo mật Trend Micro đã phát hiện ra ba ứng dụng độc hại trên Google Play: Camero dưới dạng ứng dụng ảnh; FileCrypt dưới dạng ứng dụng quản lý tệp; callCam dưới dạng ứng dụng gọi camera.
Hai ứng dụng đầu tiên đóng vai trò là phần mềm tải và cài đặt (dropper) ứng dụng thứ ba để thực hiện hành vi gián điệp trực tiếp.
Ứng dụng Camero sẽ tải xuống tệp DEX từ một máy chủ C&C, sau đó tải xuống tệp APK callCam và khai thác lỗ hổng CVE-2019-2215 để giành quyền root của thiết bị, cài đặt ứng dụng callCam và khởi chạy mà không cần bất kỳ sự tương tác hoặc ý thức nào của người dùng.
“Phương thức này chỉ hoạt động trên các thiết bị Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881) và Redmi 6A”, các nhà nghiên cứu lưu ý.
Ứng dụng FileCrypt Manager sẽ yêu cầu người dùng kích hoạt Dịch vụ trợ năng Android. Nếu người dùng kích hoạt, họ sẽ cài đặt và khởi chạy ứng dụng callCam. Ứng dụng callCam ẩn đi biểu tượng sau khi được khởi chạy nên người dùng thường không để ý đến nó.
Ứng dụng này thu thập, mã hóa và gửi lại thông tin cho máy chủ C&C như: vị trí, trạng thái pin, các tệp trên thiết bị, danh sách ứng dụng đã cài đặt, thông tin thiết bị, thông tin cảm biến, thông tin camera, ảnh chụp màn hình, tài khoản, thông tin Wifi, Dữ liệu WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail và Chrome.
Ứng dụng được sử dụng bởi nhóm tin tặc APT do nhà nước tài trợ?
Các chuyên gia cho rằng, các nhóm tin tặc được nhà nước tài trợ có thể lạm dụng Google Play để phát tán các ứng dụng độc hại tới mục tiêu của chúng.
Bởi bộ ba ứng dụng độc hại mới nhất này đã được liên hệ với SideWinder, một nhóm tin tặc đã nhắm vào các mục tiêu quân sự của Pakistan, khi các mục tiêu này kết nối với các máy chủ C&C bị nghi ngờ là nằm trong cơ sở hạ tầng của SideWinder.
Bản vá cho CVE-2019-2215 đã được Google cung cấp gần như ngay sau khi lỗ hổng này lần đầu tiên được phát hiện, nhưng có thể chưa được phổ biến cho mọi người dùng Android.
Người dùng được khuyến nghị là cần cẩn trọng về các ứng dụng mà họ cài đặt trên các thiết bị của mình. Cửa hàng ứng dụng Google Play có thể lưu trữ ít ứng dụng độc hại hơn nhiều so với thị trường ứng dụng của bên thứ ba, tuy nhiên các mối nguy hại trên đó vẫn tồn tại.
T.U
Theo HelpNetSecurity
13:00 | 28/05/2020
09:00 | 29/04/2020
13:00 | 12/02/2020
04:00 | 31/10/2019
10:00 | 21/01/2020
07:00 | 04/10/2021
09:00 | 15/10/2019
09:00 | 25/09/2019
07:00 | 11/01/2023
09:00 | 25/05/2022
10:00 | 06/04/2020
18:00 | 22/09/2023
FortiGuard Labs mới đây vừa công bố Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu trong nửa đầu năm 2023. Đáng chú ý, các nhà nghiên cứu đã quan sát thấy sự sụt giảm đáng kể số lượng các tổ chức phát hiện phần mềm tống tiền. Điều đó cho thấy tấn công bằng mã độc tống tiền ngày càng tinh vi hơn, khó phát hiện hơn, trong khi tần suất và tác động của các cuộc tấn công có chủ đích vẫn tiếp tục gia tăng.
09:00 | 06/09/2023
Trong những năm gần đây, các nhóm tin tặc đã phát triển nhanh chóng, tấn công các tổ chức/doanh nghiệp và hàng triệu người dùng trên khắp thế giới. Bài viết dưới đây sẽ thông tin tới độc giả những nhóm tin tặc nguy hiểm nhất năm 2023 theo đánh giá của các chuyên gia.
14:00 | 18/07/2023
Ngày chống mã độc tống tiền (Anti-Ransomware Day) được ấn định là ngày 12/5, khi thế giới ghi nhận vụ tấn công WannaCry khét tiếng năm 2017. Đại dịch ransomware lớn nhất trong lịch sử, cuộc tấn công mạng này đã lây nhiễm hơn 200 nghìn máy tính trên 150 quốc gia, ước tính gây thiệt hại cho nền kinh tế toàn cầu khoảng 4 tỷ USD. Bài viết tóm lược những thiệt hại do mã độc tống tiền gây ra, những khuyến nghị và xu hướng phát triển trong năm 2023.
09:00 | 04/05/2023
Mới đây, các nhà nghiên cứu bảo mật đã phát cảnh báo về việc tin tặc đang sử dụng một công cụ mới có tên AuKill để vô hiệu hóa các chương trình bảo vệ hệ thống, sau đó chúng sẽ triển khai những thứ độc hại để tấn công máy tính cá nhân người dùng.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
VMware Aria Operations for Networks là một công cụ giám sát, khám phá và phân tích mạng cũng như ứng dụng để xây dựng cơ sở hạ tầng mạng an toàn trên nền tảng điện toán đám mây cho các doanh nghiệp. Mới đây, mã khai thác PoC cho một lỗ hổng nghiêm trọng ảnh hưởng đến VMware Aria Operations for Networks đã được công bố. Hiện hãng đã phát hành các bản sửa lỗi cho lỗ hổng.
15:00 | 20/09/2023
