Bạn có chắc chắn ứng dụng WhatsApp mà bạn đang sử dụng trên thiết bị Android của mình là hợp pháp, ngay cả khi ứng dụng này hoạt động hoàn hảo như dự định không?
…Hoặc ứng dụng JioTV, AppLock, HotStar, Flipkart, Opera Mini hoặc Truecaller—nếu bạn đã cài đặt bất kỳ ứng dụng nào trong số này?
Tôi hỏi điều này bởi vì các nhà nghiên cứu an ninh mạng mới hôm qua đã tiết lộ chi tiết mở rộng về một chiến dịch phần mềm độc hại phổ biến trên Android, trong đó những kẻ tấn công âm thầm thay thế các ứng dụng hợp pháp đã cài đặt bằng các phiên bản độc hại của chúng trên gần 25 triệu điện thoại di động.
Bây giờ câu hỏi quan trọng ở đây là họ đang làm như thế nào và tại sao?
Theo các nhà nghiên cứu tại Check Point, những kẻ tấn công đang phân phối một loại phần mềm độc hại Android mới ngụy trang thành các ứng dụng chỉnh sửa ảnh, giải trí dành cho người lớn hoặc trò chơi có vẻ ngoài vô hại và có sẵn thông qua các cửa hàng ứng dụng bên thứ ba được sử dụng rộng rãi.
mệnh danh Đặc vụ Smithphần mềm độc hại này lợi dụng nhiều lỗ hổng Android, chẳng hạn như lỗ hổng Janus và lỗ hổng Man-in-the-Disk, đồng thời đưa mã độc vào tệp APK của ứng dụng mục tiêu được cài đặt trên thiết bị bị xâm nhập, sau đó tự động cài đặt lại/cập nhật chúng mà nạn nhân không hề hay biết hoặc tương tác.
“Việc nhóm phần mềm độc hại này hoán đổi chỉ một ứng dụng vô hại với một ứng dụng kép bị nhiễm là chưa đủ. Nó làm như vậy với mọi ứng dụng trên thiết bị miễn là tên gói nằm trong danh sách con mồi của nó”, các nhà nghiên cứu viết trong báo cáo được công bố. Thứ Tư.
“Theo thời gian, chiến dịch này cũng sẽ lây nhiễm lặp đi lặp lại cùng một thiết bị với các bản vá độc hại mới nhất. Điều này khiến chúng tôi ước tính có tổng cộng hơn 2,8 tỷ lượt lây nhiễm, trên khoảng 25 triệu thiết bị, nghĩa là trung bình mỗi nạn nhân sẽ phải chịu khoảng 112 lần hoán đổi các ứng dụng vô tội.”
Phần mềm độc hại mà các nhà nghiên cứu tin rằng có liên quan đến một công ty có trụ sở tại Trung Quốc, đã được thiết kế để thu lợi tài chính bằng cách cung cấp các quảng cáo độc hại cho nạn nhân.
Phần mềm độc hại Agent Smith hoạt động như thế nào?
Khi cài đặt các ứng dụng bẫy, phần mềm độc hại Agent Smith tận dụng chuỗi lây nhiễm ba giai đoạn và chứa các mô-đun khác nhau cho mỗi bước, hoạt động của chúng được giải thích bên dưới:
1.) Mô-đun bộ nạp — Ứng dụng ban đầu phát tán phần mềm độc hại chứa một mô-đun có tên là Trình tải, mục đích duy nhất của mô-đun này là giải mã, giải nén và chạy mô-đun giai đoạn hai có tên là Lõi.
2.) Mô-đun lõi — Sau khi được thực thi, mô-đun Core giao tiếp với máy chủ C&C của kẻ tấn công để nhận danh sách các ứng dụng phổ biến cần được nhắm mục tiêu.
Nếu tìm thấy kết quả trùng khớp được cài đặt trên thiết bị của nạn nhân, mô-đun Core sẽ cố gắng lây nhiễm APK được nhắm mục tiêu bằng cách sử dụng lỗ hổng Janus hoặc đơn giản bằng cách biên dịch lại APK bằng tải trọng độc hại.
Hơn nữa, để tự động cài đặt APK đã sửa đổi và thay thế phiên bản gốc của nó mà không có sự đồng ý của người dùng, những kẻ tấn công sử dụng một loạt lỗ hổng 1 ngày, bao gồm cả tấn công man-in-the-disk.
3.) Mô-đun khởi động — Mô-đun này được bao gồm trong tải trọng độc hại đi kèm với ứng dụng gốc và hoạt động giống như mô-đun Trình tải. Nó trích xuất và thực thi một payload độc hại, được gọi là mô-đun Patch khi nạn nhân chạy ứng dụng đã sửa đổi.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
4.) Mô-đun vá lỗi — Mô-đun bản vá đã được thiết kế để ngăn các ứng dụng đã sửa đổi nhận được các bản cập nhật hợp pháp, nếu được cài đặt, các bản cập nhật này sẽ hoàn nguyên tất cả các thay đổi độc hại.
“Mặc dù đầu tư rất nhiều tài nguyên vào việc phát triển phần mềm độc hại này, tác nhân đằng sau Đặc vụ Smith không muốn một bản cập nhật thực sự xóa tất cả các thay đổi đã thực hiện, vì vậy đây là lúc mô-đun Bản vá phát huy tác dụng”
“Với mục đích duy nhất là vô hiệu hóa cập nhật tự động cho ứng dụng bị lây nhiễm, mô-đun này quan sát thư mục cập nhật cho ứng dụng gốc và xóa tệp khi nó xuất hiện.”
6.) Mô-đun AdSDK — Đây là tải trọng thực tế hiển thị quảng cáo cho nạn nhân để thu lợi tài chính và hơn nữa còn lây nhiễm thiết bị với các dòng phần mềm quảng cáo khác.
Tuy nhiên, các nhà nghiên cứu cảnh báo rằng phần mềm độc hại mô-đun này có thể dễ dàng được điều chỉnh cho các mục đích xâm nhập và gây hại hơn nhiều, chẳng hạn như đánh cắp thông tin nhạy cảm—từ tin nhắn riêng tư đến thông tin đăng nhập ngân hàng, v.v.
Ban đầu, các nhà nghiên cứu đã gặp phải phần mềm độc hại Agent Smith vào đầu năm 2019, phần mềm này chủ yếu nhắm mục tiêu vào các thiết bị Android ở Ấn Độ (với 15 triệu thiết bị bị nhiễm) và các quốc gia châu Á lân cận khác như Pakistan, Bangladesh, Indonesia và Nepal.
Tuy nhiên, phần mềm độc hại cũng ảnh hưởng đến một số thiết bị đáng chú ý ở Hoa Kỳ (hơn 300.000 thiết bị bị nhiễm), Úc (hơn 140.000 thiết bị bị nhiễm) và Vương quốc Anh (hơn 135.000 thiết bị bị nhiễm).
Bên cạnh các cửa hàng ứng dụng của bên thứ ba, các nhà nghiên cứu cũng tìm thấy ít nhất 11 ứng dụng bị nhiễm độc trên Google Play Store trong những tháng gần đây có chứa các thành phần Agent Smith độc hại chưa hoạt động.
Điều này cho thấy rõ ràng rằng các tác nhân đe dọa đằng sau chiến dịch phần mềm độc hại này cũng đang cố gắng tìm cách trong nền tảng tải xuống ứng dụng dành cho thiết bị di động của Google để phát tán phần mềm quảng cáo của chúng. Google đã thông báo xóa tất cả các ứng dụng khỏi cửa hàng của mình.
Vì Đặc vụ Smith đã lây nhiễm phần lớn những người dùng đã tải xuống ứng dụng từ các cửa hàng ứng dụng của bên thứ ba, nên người dùng được khuyến nghị luôn tải xuống ứng dụng từ các cửa hàng ứng dụng đáng tin cậy để giảm thiểu nguy cơ lây nhiễm. Ngoài ra, chỉ tải xuống ứng dụng từ các nhà phát triển đáng tin cậy.
Người dùng cũng nên gỡ cài đặt bất kỳ ứng dụng nào mà họ nghi ngờ có thể độc hại bằng cách vào Menu Cài đặt, nhấp vào Ứng dụng hoặc Trình quản lý ứng dụng, sau đó Cuộn đến ứng dụng bị nghi ngờ và gỡ cài đặt ứng dụng đó.
Vì lỗ hổng chính mà Agent Smith đang khai thác có từ năm 2017 và đã được vá, nên các nhà phát triển ứng dụng dành cho thiết bị di động nên triển khai APK Signature Scheme V2 mới nhất để ngăn các ứng dụng độc hại lợi dụng lỗ hổng Janus của Android để chống lại ứng dụng của họ.
