Cảnh báo! Phiên bản cập nhật hệ thống Android này có thể chứa phần mềm gián điệp

Các nhà nghiên cứu bảo mật vừa phát hiện một trojan mới có thể đánh cắp thông tin, đang nhắm vào các thiết bị Android có khả năng truy quét dữ liệu nhanh chóng – từ việc thu thập các tìm kiếm trên trình duyệt đến ghi âm các cuộc gọi thoại và âm thanh.

Mặc dù trước đây các mã độc trên Android đã ngụy trang bằng hình thức các ứng dụng sao chép với tên tương tự phần mềm hợp pháp để đánh cắp thông tin cá nhân của người dùng, ứng dụng độc hại mới này tự giả mạo một ứng dụng cập nhật hệ thống để chiếm quyền kiểm soát các thiết bị bị xâm nhập.

Các nhà nghiên cứu của Zimperium cho biết “ Phần mềm gián điệp này sẽ tạo ra thông báo nếu màn hình thiết bị đang tắt khi nó nhận lệnh sử dụng dịch vụ nhắn Firebase. Nội dung thông báo là “Đang tìm kiếm bản cập nhật” dù không phải là một thông báo hợp pháp từ hệ điều hành mà là từ một phần mềm gián điệp.

Sau khi được cài đặt, chiến dịch phần mềm gián điệp tinh vi đặt ra nhiệm vụ của nó bằng cách đăng ký thiết bị với máy chủ điều khiển và kiểm soát Firebase (C2) với thông tin như tỷ lệ phần trăm pin, số liệu thống kê về bộ nhớ và liệu điện thoại đã được cài đặt WhatsApp hay chưa, tiếp theo là tích lũy và xuất bất kỳ dữ liệu nào mà máy chủ quan tâm dưới dạng tệp ZIP được mã hóa.

Phần mềm gián điệp này có vô số khả năng, tập trung vào khả năng tàng hình, bao gồm các chiến thuật đánh cắp danh bạ, dấu trang của trình duyệt và lịch sử tìm kiếm, đánh cắp tin nhắn bằng cách lạm dụng các dịch vụ trợ năng, ghi âm, cuộc gọi điện thoại và chụp ảnh bằng camera của điện thoại. Nó cũng có thể theo dõi vị trí của nạn nhân, tìm kiếm các tệp có phần mở rộng cụ thể và lấy dữ liệu từ khay nhớ tạm của thiết bị.

Các nhà nghiên cứu cho biết: "Chức năng và khả năng lọc dữ liệu của phần mềm gián điệp được kích hoạt trong nhiều điều kiện, chẳng hạn như thêm liên hệ mới, nhận tin nhắn SMS mới hoặc ứng dụng mới được cài đặt bằng cách sử dụng bộ thu contentObserver và Broadcast của Android".

Hơn nữa, phần mềm độc hại không chỉ sắp xếp dữ liệu đã thu thập thành một số thư mục bên trong bộ nhớ riêng của nó, nó còn xóa sạch mọi dấu vết của hoạt động độc hại bằng cách xóa các tệp ZIP ngay khi nhận được thông báo "thành công" từ bài đăng kiểm tra máy chủ C2. Trong một nỗ lực hơn nữa để tránh bị phát hiện và bay dưới radar, phần mềm gián điệp cũng giảm mức tiêu thụ băng thông bằng cách tải lên các hình thu nhỏ trái ngược với hình ảnh và video thực tế có trong bộ nhớ ngoài.

Mặc dù ứng dụng "Cập nhật hệ thống" chưa bao giờ được phân phối thông qua Cửa hàng Google Play chính thức, nghiên cứu một lần nữa nhấn mạnh cách các cửa hàng ứng dụng của bên thứ ba có thể chứa phần mềm độc hại nguy hiểm. Danh tính của các tác giả phần mềm độc hại, các nạn nhân được nhắm mục tiêu và động cơ cuối cùng đằng sau chiến dịch vẫn chưa rõ ràng.

Hương – Theo The Hacker News