Phần mềm gián điệp Mandrake mới được tìm thấy trong các ứng dụng của Google Play Store sau hai năm

www.tuoitre.vn -   31/07/2024 08:00:00 109

Một phiên bản mới của phần mềm gián điệp Android tinh vi có tên Mandrake đã được phát hiện trong năm ứng dụng có thể tải xuống từ Cửa hàng Google Play và không bị phát hiện trong hai năm.

Phần mềm gián điệp Mandrake mới được tìm thấy trong các ứng dụng của Google Play Store sau hai năm

Kaspersky cho biết trong bài viết hôm thứ Hai rằng các ứng dụng này đã thu hút tổng cộng hơn 32.000 lượt cài đặt trước khi bị xóa khỏi cửa hàng ứng dụng. Phần lớn các lượt tải xuống có nguồn gốc từ Canada, Đức, Ý, Mexico, Tây Ban Nha, Peru và Vương quốc Anh.

"Các mẫu mới bao gồm các lớp kỹ thuật che giấu và né tránh mới, chẳng hạn như di chuyển chức năng độc hại đến các thư viện gốc đã che giấu, sử dụng ghim chứng chỉ cho giao tiếp C2 và thực hiện một loạt các thử nghiệm để kiểm tra xem Mandrake có đang chạy trên thiết bị đã root hay trong môi trường mô phỏng hay không", các nhà nghiên cứu Tatyana Shishkova và Igor Golovin cho biết.

Mandrake lần đầu tiên được nhà cung cấp an ninh mạng Bitdefender của Romania ghi nhận vào tháng 5 năm 2020, mô tả cách tiếp cận có chủ đích của nó nhằm lây nhiễm một số ít thiết bị trong khi vẫn ẩn núp trong bóng tối kể từ năm 2016. Phần mềm độc hại này vẫn chưa được xác định là do tác nhân hoặc nhóm đe dọa nào gây ra.

Các biến thể được cập nhật được đặc trưng bởi việc sử dụng OLLVM để che giấu chức năng chính, đồng thời kết hợp một loạt các kỹ thuật tránh hộp cát và chống phân tích để ngăn chặn mã được thực thi trong môi trường do các nhà phân tích phần mềm độc hại vận hành.

Danh sách các ứng dụng có chứa Mandrake như sau -

  • AirFS (com.airft.ftrnsfr)
  • Amber (com.shrp.sght)
  • Astro Explorer (com.astro.dscvr)
  • Brain Matrix (com.brnmth.mtrx)
  • CryptoPulsing (com.cryptopulsing.browser)

Các ứng dụng được đóng gói trong ba giai đoạn: Một trình thả khởi chạy trình tải chịu trách nhiệm thực thi thành phần cốt lõi của phần mềm độc hại sau khi tải xuống và giải mã từ máy chủ chỉ huy và kiểm soát (C2).

Tải trọng giai đoạn thứ hai cũng có khả năng thu thập thông tin về trạng thái kết nối của thiết bị, các ứng dụng đã cài đặt, phần trăm pin, địa chỉ IP bên ngoài và phiên bản Google Play hiện tại. Hơn nữa, nó có thể xóa mô-đun lõi và yêu cầu cấp quyền để vẽ lớp phủ và chạy ở chế độ nền.

Giai đoạn thứ ba hỗ trợ các lệnh bổ sung để tải một URL cụ thể trong WebView và khởi tạo phiên chia sẻ màn hình từ xa cũng như ghi lại màn hình thiết bị với mục tiêu đánh cắp thông tin đăng nhập của nạn nhân và phát tán thêm phần mềm độc hại.

"Android 13 đã giới thiệu tính năng 'Cài đặt hạn chế', tính năng này cấm các ứng dụng được tải từ bên ngoài yêu cầu trực tiếp các quyền nguy hiểm", các nhà nghiên cứu cho biết. "Để bỏ qua tính năng này, Mandrake xử lý cài đặt bằng trình cài đặt gói 'dựa trên phiên'".

Công ty bảo mật của Nga mô tả Mandrake là ví dụ về mối đe dọa đang phát triển năng động, liên tục tinh chỉnh các thủ đoạn của mình để vượt qua các cơ chế phòng thủ và tránh bị phát hiện.

"Điều này làm nổi bật các kỹ năng đáng gờm của những kẻ tấn công, và cũng cho thấy rằng việc kiểm soát chặt chẽ hơn đối với các ứng dụng trước khi được công bố trên thị trường chỉ dẫn đến các mối đe dọa tinh vi hơn, khó phát hiện hơn, xâm nhập vào các thị trường ứng dụng chính thức", báo cáo cho biết.

Khi được yêu cầu bình luận, Google đã nói với The Hacker News rằng họ liên tục củng cố khả năng phòng thủ của Google Play Protect khi các ứng dụng độc hại mới được gắn cờ và họ đang tăng cường khả năng của mình để bao gồm phát hiện mối đe dọa trực tiếp nhằm giải quyết các kỹ thuật che giấu và chống trốn tránh.

"Người dùng Android được Google Play Protect tự động bảo vệ khỏi các phiên bản đã biết của phần mềm độc hại này, được bật theo mặc định trên các thiết bị Android có Dịch vụ Google Play", một phát ngôn viên của Google cho biết. "Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được biết là có hành vi độc hại, ngay cả khi các ứng dụng đó đến từ các nguồn bên ngoài Play".

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 66
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 64
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 62
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 64
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 41
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 30
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

LIÊN HỆ

Thông tin liên hệ