Mã độc mới trên Android ghi lại cuộc gọi và trộm dữ liệu cá nhân

Các chuyên gia nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra các biến thể mới của một mã độc Trojan Android mới được phát tán mạo danh một ứng dụng diệt virus giả mạo mang tên Naver Defender.

Phần mềm độc hại này được gọi là KevDroid, là một công cụ quản trị từ xa được thiết kế để đánh cắp các thông tin nhạy cảm của người dùng từ các thiết bị Android mà nó xâm nhập và ghi lại nội dung cuộc gọi điện thoại.

Theo chi tiết kỹ thuật được công bố bởi các nhà nghiên cứu Talos thì hai biến thể gần đây của KevDroid được khám phá đầu tiên bởi công ty bảo mật an ninh mạng của Hàn Quốc cách đây 2 tuần.

Mặc dù các nhà nghiên cứu không cho biết phần mềm độc hại này được lây lan từ bất kỳ nhóm hacker hay nhóm bảo trợ bởi nhà nước nào, các đơn vị truyền thông Nam Hàn đã kết nối KevDroid với nhóm hacker gián điệp của Bắc Triều Tiên “Nhóm 123” chủ yếu được biết với mục tiêu tấn công Nam Triều Tiên.

Phiên bản mới nhất của phần mềm độc hại này được phát hiện vào tháng 3 năm nay với các khả năng:

• Ghi lại cuộc gọi điện thoại và âm thanh
• Đánh cắp lịch sử web và các tập tin
• Truy cập quyền Root
• Đánh cắp nhật ký cuộc gọi, tin nhắn SMS, email
• Thu thập vị trí định vị thiết bị mỗi 10 giây
• Thu thập danh sách các ứng dụng đã cài đặt trên thiết bị

Mã độc sử dụng thư viện nguồn mở có sẵn trên GitHub để có được khả năng ghi lại các cuộc gọi đến và đi từ thiết bị Android bị lây nhiễm.

Mặc dù cả hai mẫu mã độc biến thể đều có cùng khả năng đánh cắp thông tin trên thiết bị đã được đăng nhập và ghi lại các cuộc gọi thoại của nạn nhân nhưng một trong hai lại có thể khai thác lỗ hổng Android (CVE-2015-3636) để truy cập root trên thiết bị bị xâm nhập.

Tất cả những dữ liệu này đều được gửi về máy chủ điều khiển do kẻ tấn công kiểm soát, lưu trữ trên mạng dữ liệu toàn cầu Data Stream PubNub, sử dụng yêu cầu HTTP POST.

Các nhà nghiên cứu cũng phát hiện ra một RAT khác, được thiết kế để nhắm mục tiêu người dùng Windows, chia sẻ cùng một máy chủ C & C và cũng sử dụng PubNub API để gửi lệnh cho các thiết bị bị xâm nhập.

Vậy làm sao để giữ cho điện thoại Android được an toàn?

Người dùng điện thoại nên thường xuyên kiểm tra các ứng dụng được cài đặt trên thiết bị để tìm và xóa nếu có bất kỳ ứng dụng độc hại/ không xác định hoặc không cần thiết trong danh sách ứng dụng hiện có.

Không bao giờ cài đặt phần mềm từ cửa hàng ứng dụng không chính thức.

Hãy đảm bảo rằng bạn đã bật tính năng Google Play Protect.

Bật tính năng 'xác minh ứng dụng' từ cài đặt.

Giữ "nguồn không xác định" bị vô hiệu hóa trong khi không sử dụng.

Cài đặt phần mềm chống vi rút và phần mềm bảo mật từ một nhà cung cấp an ninh mạng an ninh nổi tiếng.

Thường xuyên sao lưu điện thoại của bạn.

Luôn sử dụng một ứng dụng mã hóa để bảo vệ bất kỳ thông tin nhạy cảm nào trên điện thoại của bạn.

Không bao giờ mở tài liệu lạ, ngay cả khi nó trông giống như từ một người mà bạn biết.

Bảo vệ thiết bị của bạn bằng khóa pin hoặc mật khẩu để không ai có thể truy cập trái phép vào thiết bị của bạn khi không cần giám sát.

Giữ thiết bị của bạn luôn cập nhật với các bản vá lỗi bảo mật mới nhất.

Xuân Dung