Turla là một nhóm tin tặc được nhà nước Nga hỗ trợ, nổi tiếng với việc sử dụng phần mềm độc hại tùy chỉnh để nhắm mục tiêu vào các hệ thống của châu Âu và Mỹ, chủ yếu nhằm mục đích hoạt động gián điệp. Nhóm tin tặc này cũng có liên quan đến việc sử dụng backdoor Sunburst trong cuộc tấn công chuỗi cung ứng SolarWinds vào tháng 12/2020.
Phần mềm gián điệp Android mới được phát hiện
Các nhà nghiên cứu bảo mật Lab52 đã xác định một APK độc hại có tên Process Manager hoạt động như phần mềm gián điệp Android và tải thông tin lên các tác nhân đe dọa.
Mặc dù không rõ phần mềm gián điệp được phân phối thế nào nhưng sau khi được cài đặt, Process Manager cố gắng ẩn mình trên thiết bị Android bằng biểu tượng hình bánh răng và giả vờ là một thành phần hệ thống.
Trong lần khởi chạy đầu tiên, ứng dụng sẽ nhắc người dùng cho phép nó sử dụng 18 quyền sau: Truy cập vị trí hiện tại, truy cập vị trí, truy cập trạng thái mạng, truy cập trạng thái wifi, máy ảnh, dịch vụ tiền cảnh, Internet, sửa đổi cài đặt âm thanh, đọc nhật ký cuộc gọi, đọc danh bạ, đọc bộ nhớ ngoài, ghi bộ nhớ ngoài, đọc trạng thái điện thoại, đọc tin nhắn SMS, nhận khởi động hoàn thành, ghi âm, gửi tin nhắn, nhật ký báo thức. Các quyền này là rủi ro nghiêm trọng đối với quyền riêng tư vì nó cho phép ứng dụng lấy vị trí của thiết bị, gửi và đọc văn bản, truy cập bộ nhớ, chụp ảnh bằng máy ảnh và ghi âm.
Không rõ phần mềm độc hại có lạm dụng dịch vụ Trợ năng của Android để tự cấp quyền cho chính nó hay thực hiện đánh lừa người dùng để chấp thuận yêu cầu cấp quyền, nhưng sau khi nhận được quyền, phần mềm gián điệp sẽ xóa biểu tượng và chạy trong nền chỉ với một thông báo vĩnh viễn cho biết sự hiện diện của nó.
Hình 1. Thống báo trên thiết bị Android về việc đóng vai trò là một dịch vụ hệ thống của phần mềm độc hại
Khía cạnh này khá mới đối với phần mềm gián điệp, vì thông thường các phần mềm gián điệp sẽ cố gắng không để người dùng phát hiện, đặc biệt nếu đây là hoạt động của một nhóm APT tinh vi.
Thông tin được thiết bị thu thập, bao gồm danh sách, nhật ký, SMS, bản ghi và thông báo sự kiện, được gửi ở định dạng JSON đến máy chủ chỉ huy và điều khiển tại 82.146.35 [.] 240 được đặt tại Nga.
Hình 2. Thiết lập kết nối để gửi dữ liệu bị đánh cắp
Phương thức phân phối cho APK chưa được xác định, tuy nhiên nếu đó là Turla thì nhóm tin tặc này thường sử dụng các phương thức như: kỹ thuật xã hội, lừa đảo, tấn công lỗ hổng,…
Đáng ngờ với mục đích vì lợi nhuận
Trong khi nghiên cứu, nhóm Lab52 cũng nhận thấy rằng khi họ tải các tải trọng bổ sung xuống thiết bị và tìm thấy một trường hợp ứng dụng được tải trực tiếp từ Cửa hàng Google Play.
Ứng dụng được đặt tên là "Roz Dhan: Kiếm tiền mặt bằng Wallet" và đây là một ứng dụng phổ biến với 10 triệu lượt tải xuống và có hệ thống giới thiệu tạo tiền ảo.
Hình 3. Ứng dụng được tìm thấy trên cửa hàng Google Play
Phần mềm gián điệp được báo cáo sẽ tải xuống APK thông qua hệ thống giới thiệu của ứng dụng và có khả năng kiếm được tiền hoa hồng, điều này hơi kỳ lạ vì nhóm tin tặc này thường tập trung vào hoạt động gián điệp mạng.
Các nhóm tin tặc được nhà nước hẫu thuẫn được biết đến thường tấn công với mục đích gián điệp, tuy nhiên như quan sát thấy thì phần mềm gián điệp này đang sử dụng với mục đích kiếm tiền. Tuy nhiên, có thể tin tặc đang có ý đồ che giấu dấu vết và gây nhầm lẫn cho các nhà nghiên cứu.
Do khả năng đe dọa của phần mềm độc hại có độ tinh vi thấp và việc sử dụng với mục đích kiếm tiền, các nhà nghiên cứu đang nghi ngờ rằng đây không phải là công việc của một tổ chức được hẫu thuận bởi nhà nước như Turla.
Ngăn chặn phần mềm độc hại
Người dùng thiết bị Android nên xem lại các quyền ứng dụng mà họ đã cấp, điều này sẽ khá dễ dàng trên các phiên bản từ Android 10 trở lên và cần thu hồi những quyền người dùng cảm thấy sẽ có rủi ro.
Ngoài ra, bắt đầu từ Android 12, hệ điều hành này sẽ thực hiện đẩy các thông báo khi máy ảnh hoặc mi-crô đang hoạt động, vì vậy nếu những dấu hiệu này xuất hiện không có nghĩa là phần mềm gián điệp đang ẩn trong thiết bị của bạn.
Những công cụ này đặc biệt nguy hiểm khi ẩn trong các thiết bị IoT chạy các phiên bản Android cũ hơn, chúng tạo ra tiền cho tin tặc và có thể khai thác từ xa trong thời gian dài mà người dùng không thể nhận ra.