Phần mềm độc hại mới gây sốc khi ăn cắp mật khẩu hàng trăm ứng dụng

ADMIN
11:39 27/08/2020

Android là hệ điều hành di động phổ biến nhất trên thế giới và chiếm 74% thị phần điện thoại thông minh toàn cầu. Do đó, Android là mục tiêu hàng đầu của tất cả các loại phần mềm độc hại và tấn công mạng.

Vấn đề phần mềm độc hại trên hệ điều hành Android thực sự lan rộng - và ngay cả cửa hàng ứng dụng chính thức của Google cũng không thể thoát khỏi sự xâm nhập. Trên thực tế, các nhà nghiên cứu bảo mật liên tục tìm thấy phần mềm độc hại được ngụy trang dưới dạng các chương trình thông thường

Hầu hết phần mềm độc hại chính thống trên Android được thiết kế để phục vụ một mục đích: kiếm tiền cho các nhà phát triển đằng sau nó. Nhưng ngoài các chiến dịch spam và phần mềm đăng ký, các nhà phát triển tham vọng hơn đã tạo ra một banking Trojan(Trojan ngân hàng) nguy hiểm có thể nhắm mục tiêu hơn 337 ứng dụng Android để lấy dữ liệu và mật khẩu. Dưới đây là những gì bạn cần biết về nó.

Phần mềm độc hại BlackRock nguy hiểm

Theo công ty bảo mật ThreatFnai, một phần mềm độc hại mới được thiết kế với khả năng đáng sợ đã được phát hiện vào tháng 5/2020, lưu hành trên các cửa hàng ứng dụng Android của bên thứ ba. Được gọi là “BlackRock”, banking Trojan này khác biệt với phần mềm độc hại tương tự bằng cách nhắm mục tiêu không chỉ một số ít chương trình mà nó nhắm vào khoảng 337 ứng dụng trên Android.

Khi phần mềm độc hại được khởi chạy lần đầu tiên trên thiết bị, nó sẽ bắt đầu bằng cách ẩn biểu tượng của nó khỏi nơi sắp xếp ứng dụng, làm cho nó ẩn đi đối với người dùng cuối. Ở bước thứ hai, nó hỏi nạn nhân về các đặc quyền của Dịch vụ Trợ năng (Accessibility Service). Như có thể thấy trong ảnh chụp màn hình sau, Trojan này đang giả mạo các bản cập nhật của Google.

Sau khi người dùng cấp đặc quyền Dịch vụ trợ năng được yêu cầu, BlackRock sẽ bắt đầu bằng cách tự cấp cho mình các quyền bổ sung. Các quyền bổ sung đó được yêu cầu để bot hoạt động đầy đủ mà không cần phải tương tác thêm với nạn nhân. Khi hoàn tất, bot hoạt động và sẵn sàng nhận lệnh từ máy chủ C2 và thực hiện các cuộc tấn công lớp phủ (overlay).

Nếu phát hiện ứng dụng nào có thể tấn công được, nó sẽ ngay lập tức tạo ra một “overlay” (lớp phủ) xuất hiện trên điện thoại, cửa sổ vô hình này sẽ thu thập toàn bộ dữ liệu mà bạn nhập vào ứng dụng đó. Cửa sổ ẩn này hoạt động giống như popup và nằm trên bất kỳ ứng dụng nào bạn đang sử dụng.

Sau đó, khi bạn nhập thông tin tài chính hoặc dữ liệu đăng nhập (như username và password), phần mềm độc hại sẽ ngay lập tức thu thập thông tin đó và gửi trở lại máy chủ của nhà phát triển đứng sau ứng dụng.

Tuy nhiên, để hoạt động bình thường phần mềm độc hại này sẽ yêu cầu các ứng dụng bị nhiễm “accessibility permissions”(quyền truy cập), sử dụng quyền truy cập này để hiển thị các lớp phủ độc hại .

Quyền truy cập này được thiết kế để giúp người khuyết tật có thể sử dụng thiết bị của họ dễ dàng hơn và các overlay hợp pháp có thể giúp người dùng giải quyết các vấn đề khi họ sử dụng điện thoại thông minh của mình. Nhưng BlackRock lợi dụng tính năng này để tự cấp cho mình quyền truy cập quản trị vào toàn bộ thiết bị.

Nếu các  lớp phủ được bật trên BlackRock, dưới đây là một số loại dữ liệu mà nó có thể lấy cắp và sửa đổi:

Cách có thể tự bảo vệ mình khỏi BlackRock

Hiện tại, BlackRock được phát tán ngụy trang dưới dạng các gói cập nhật thông qua ứng dụng giả Google được cung cấp trên các trang web của bên thứ ba và hiện mã độc vẫn chưa được phát hiện trên chợ ứng dụng chính thức của Google. Các trung tâm tải xuống không chính thức này đầy rẫy các trò chơi và chương trình có vẻ hấp dẫn để tải xuống nhưng thường khá nguy hiểm. Bởi vì không có quy trình phê duyệt, bất kỳ ai cũng có thể tải bất kỳ thứ gì lên các cửa hàng của bên thứ ba này - bao gồm cả phần mềm độc hại.

Để giữ an toàn, hãy tránh hoàn toàn các cửa hàng ứng dụng của bên thứ ba. Google Play đã gặp phải vấn đề nghiêm trọng với phần mềm độc hại, vì vậy không khó để tưởng tượng một nền tảng mà không có bất kỳ sự kiểm duyệt nào có thể ảnh hưởng xấu thế nào đến bảo mật của điện thoại của bạn.

Ngoài việc tránh các thị trường của bên thứ ba, đây là một số phương pháp hay nhất cần ghi nhớ khi tải xuống bất kỳ ứng dụng nào cho thiết bị Android của bạn:

Nếu bạn không muốn điện thoại của mình bị xâm nhập và dữ liệu bị đánh cắp, thì việc giữ an toàn trên Android cũng dễ dàng nếu bạn chọn một trình tải xuống tin cậy. Bạn không cần hàng trăm ứng dụng và trò chơi để giải trí trên điện thoại của mình. Trong thế giới điện thoại thông minh, tất cả là chất lượng hơn số lượng.

Nguồn tham khảo:  Komando

TIN LIÊN QUAN
✨Đại diện Việt Nam tại cuộc thi an ninh mạng quốc tế Cyber SEA Game 2024, là đội UIT.Wolf_Brigade, gồm 4 sinh viên năm 3, ngành an toàn thông tin, Trường ĐH Công nghệ thông tin - Đại học Quốc gia TP.HCM, gồm: Lê Phú Đức, Lê Khắc Trung Nam,...
Wickedcrown Operation S3 là một khóa training ngắn hạn do CLB An toàn Thông tion Wanna.W1n - UIT InSecLab tổ chức, nhằm cung cấp kiến thức và kỹ năng liên quan đến An toàn Thông tin. Đây là một cơ hội tuyệt vời cho sinh viên đang học tại UIT...
Chúc mừng nhóm sinh viên Lê Trần Gia Bảo, Trần Thanh Phong, Phạm Thái Bảo sinh viên ngành Khoa học máy tính và An toàn thông tin cùng nhóm nghiên cứu InsecLab đã có bài báo nghiên cứu về Phương pháp phát hiện mã độc trên Windows được chấp nhận...