Nhóm Hacker Team cung cấp mã độc đánh lừa Google Play

Posted on 04/11/2016

Các nhà nghiên cứu bảo mật tại Trend Micro vừa phát hiện tiểu xảo được sử dụng trong một ứng dụng tin tức giả mạo vốn có thể giúp Spyware này đánh lừa tính năng kiểm duyệt mã nguồn của Google Play.

dtdd-android

Nhóm Hacker Team cung cấp mã độc đánh lừa Google Play

Theo đó, ứng dụng mẫu này vốn được tạo ra bởi nhóm Hacker Team – Công ty chuyên cung cấp các công cụ khai thác lỗ hổng cũng như tấn công mạng, sẽ cho phép khách hàng của công ty lén cài phần mềm gián điệp lên các thiết bị di động và đặc biệt là chúng có khả năng “qua mặt” được hệ thống kiểm duyệt mã nguồn gắt gao trên “chợ” ứng dụng trực tuyến Google Play.

Trang Ars Technica cho biết, ứng dụng mang tên BeNews mặc dù được tải về chưa quá 50 lần do nằm trong diện khả nghi của Google Play nhưng về cơ bản thì kĩ thuật mà BeNews khai thác đã được sử dụng trong các ứng dụng Android khác mà khách hàng của Hacker Team phát triển, và hiện giờ kĩ thuật này có lẽ cũng được sao chép bởi những người khác vốn đang cố gắng “cấy” mã độc vào các thiết bị Android.

Các chuyên gia bảo mật tại phòng thí nghiệm Trend Labs thuộc Trend Micro khẳng định, BeNews được thiết kế như là một virus Trojan dành cho mã độc có tác dụng mở “cửa hậu” RCSAndroid do chính Hacker Team phát triển.

Đáng chú ý, theo các chuyên gia tại Trend Micro, Trojan này đã cố tình sử dụng tên của một website tin tức không còn tồn tại nhằm đánh lừa người dùng cũng như giả danh như là một ứng dụng Android hoàn toàn hợp pháp. Theo tường thuật của Ars Technica, đại diện Trend Micro cho biết hãng này tìm thấy mã nguồn của ứng dụng BeNews trong các tập tin của Hacking Team bị rò rỉ gần đây, cùng tài liệu hướng dẫn khách hàng cách sử dụng.

Căn cứ vào đây, Trend Micro tin rằng Hacking Team đã cung cấp ứng dụng mã độc này cho khách hàng sử dụng làm mồi nhử người dùng tải phần mềm độc hại RCSAndroid lên thiết bị Android.

Ứng dụng mã độc của Hacker Team về mặt kĩ thuật sẽ khai thác một lỗ hổng “leo thang quyền hạn” trên nền tảng Android từng được báo cáo hồi Hè 2014, vốn ảnh hưởng đến tất cả phiên bản hệ điều hành di động từ Android 2.2 (Froyo) đến Android 4.4.4 (KitKat) cũng như vài phiên bản Android khác. Ngoài ra, lỗ hổng bảo mật này cũng được tường thuật sẽ ảnh hưởng đến các phiên bản Linux khác.

Theo nhận định của các chuyên gia Trend Micro, phương thức tấn công và khai thác lỗ hổng của BeNews không tồn tại trong các đoạn mã khởi đầu của mã độc. Thay vào đó, mã độc chỉ yêu cầu 3 quyền vốn được coi là an toàn theo tiêu chuẩn bảo mật của Google là không có mã khai thác lỗ hổng được tìm thấy trong ứng dụng.

Tuy nhiên, sau khi ứng dụng được tải về và khởi chạy bởi chính người dùng, mã độc sẽ tự động tải thêm các đoạn mã (code) nguy hại bổ sung, và từ đó sử dụng các đoạn mã mới phát sinh này để “leo thang” quyền hạn trên thiết bị Android và tiếp đến là cài vào “cửa hậu” RCSAndroid như từng đề cập ở phần trên

Leave a Reply

Your email address will not be published. Required fields are marked *