Ứng dụng Android độc hại mới này có thể giành quyền truy cập root vào điện thoại thông minh

Một tác nhân độc hại không xác định mới có liên quan đến chủng ứng dụng Android độc hại mới có khả năng root điện thoại thông minh và kiểm soát hoàn toàn điện thoại thông tin trong khi thực hiện các bước tránh bị người dùng phát hiện.

Ứng dụng độc hại này được định danh là AbstractEmu do nó sử dụng tính năng trừu tượng hóa mã và kiểm tra chống mô phỏng được thực hiện để cản trở việc phân tích ngay từ thời điểm các ứng dụng được mở. Đáng chú ý, chiến dịch di động toàn cầu được thiết kế để nhắm mục tiêu và lây nhiễm càng nhiều thiết bị càng tốt.

Lookout Threat Labs cho biết họ đã tìm thấy tổng cộng 19 ứng dụng Android được coi là ứng dụng tiện ích và công cụ hệ thống như trình quản lý mật khẩu, trình quản lý tiền, trình khởi chạy ứng dụng và ứng dụng tiết kiệm dữ liệu, bảy trong số đó có chức năng root. Chỉ có một trong những ứng dụng giả mạo, được gọi là Lite Launcher, đã có mặt trên Cửa hàng Google Play chính thức, thu hút tổng cộng 10.000 lượt tải xuống trước khi bị xóa.

Các ứng dụng được cho là đã được phân phối nổi bật thông qua các cửa hàng của bên thứ ba như Amazon Appstore và Samsung Galaxy Store, cũng như các thị trường ít được biết đến khác như Aptoide và APKPure.

"Mặc dù hiếm gặp nhưng phần mềm độc hại root rất nguy hiểm. Bằng cách sử dụng quy trình root để có được quyền truy cập đặc quyền vào hệ điều hành Android, kẻ đe dọa có thể âm thầm cấp cho mình các quyền nguy hiểm hoặc cài đặt phần mềm độc hại bổ sung - các bước thường yêu cầu sự tương tác của người dùng", các nhà nghiên cứu của Lookout nói. "Các đặc quyền nâng cao cũng cấp cho phần mềm độc hại quyền truy cập vào dữ liệu nhạy cảm của các ứng dụng khác, điều không thể xảy ra trong các trường hợp bình thường."

Sau khi được cài đặt, chuỗi tấn công được thiết kế để tận dụng một trong năm lần khai thác các lỗi bảo mật Android cũ hơn cho phép nó có được quyền root và chiếm quyền điều khiển thiết bị, trích xuất dữ liệu nhạy cảm và truyền đến máy chủ bị tấn công từ xa.

• CVE-2015-3636 (PongPongRoot)
• CVE-2015-1805 (iovyroot)
• CVE-2019-2215 (Qu1ckr00t)
• CVE-2020-0041, and
• CVE-2020-0069

Lookout đã quy kết chiến dịch ứng dụng độc hại root được phân phối hàng loạt là do "nhóm có nguồn lực tốt với động lực tài chính", với dữ liệu đo từ xa tiết lộ rằng người dùng thiết bị Android ở Hoa Kỳ bị ảnh hưởng nhiều nhất. Mục tiêu cuối cùng của các cuộc xâm nhập vẫn chưa rõ ràng.

Các nhà nghiên cứu cho biết: "Root thiết bị Android hoặc bẻ khóa thiết bị iOS vẫn là những cách xâm hại nhất để xâm phạm hoàn toàn thiết bị di động", đồng thời cho biết thêm "thiết bị di động là công cụ hoàn hảo để bọn tội phạm mạng khai thác, vì chúng có vô số chức năng và chứa vô số dữ liệu nhạy cảm.”

Hương – Theo TheHackerNews