Ứng dụng trên Google Play khai thác lỗ hổng Android để phát tán phần mềm gián điệp

10:08 | 16/01/2020
T.U

Mới đây, Google đã gỡ bỏ ba ứng dụng độc hại trên cửa hàng ứng dụng Google Play. Trong đó, có một ứng dụng khai thác lỗ hổng leo thang đặc quyền trong nhân Android (CVE-2019-2215) để cài đặt ứng dụng độc hại nhằm theo dõi người dùng.

Lỗ hổng CVE-2019-2215 đã được phát hiện vào cuối năm 2019 khi nó bị khai thác trong thực tế. Các nhà nghiên cứu thuộc Nhóm phân tích mối đe dọa của Google và các đơn vị khác tin rằng, việc khai thác bắt đầu từ NSO Group - một công ty có trụ sở tại Israel chuyên về phần mềm giám sát hợp pháp. Phần mềm gián điệp di động Pegasus của công ty đã bị lạm dụng để theo dõi “kẻ thù”.

Vào thời điểm đó, nhóm Android đánh giá lỗ hổng này có mức độ nghiêm trọng cao và chỉ ra rằng, ứng dụng độc hại phải được cài đặt trên thiết bị đích để thực hiện khai thác.

Các ứng dụng độc hại mới được phát hiện

Các nhà nghiên cứu của hãng bảo mật Trend Micro đã phát hiện ra ba ứng dụng độc hại trên Google Play: Camero dưới dạng ứng dụng ảnh; FileCrypt dưới dạng ứng dụng quản lý tệp; callCam dưới dạng ứng dụng gọi camera.

Hai ứng dụng đầu tiên đóng vai trò là phần mềm tải và cài đặt (dropper) ứng dụng thứ ba để thực hiện hành vi gián điệp trực tiếp.

Ứng dụng Camero sẽ tải xuống tệp DEX từ một máy chủ C&C, sau đó tải xuống tệp APK callCam và khai thác lỗ hổng CVE-2019-2215 để giành quyền root của thiết bị, cài đặt ứng dụng callCam và khởi chạy mà không cần bất kỳ sự tương tác hoặc ý thức nào của người dùng.

“Phương thức này chỉ hoạt động trên các thiết bị Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881) và Redmi 6A”, các nhà nghiên cứu lưu ý.

Ứng dụng FileCrypt Manager sẽ yêu cầu người dùng kích hoạt Dịch vụ trợ năng Android. Nếu người dùng kích hoạt, họ sẽ cài đặt và khởi chạy ứng dụng callCam. Ứng dụng callCam ẩn đi biểu tượng sau khi được khởi chạy nên người dùng thường không để ý đến nó.

Ứng dụng này thu thập, mã hóa và gửi lại thông tin cho máy chủ C&C như: vị trí, trạng thái pin, các tệp trên thiết bị, danh sách ứng dụng đã cài đặt, thông tin thiết bị, thông tin cảm biến, thông tin camera, ảnh chụp màn hình, tài khoản, thông tin Wifi, Dữ liệu WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail và Chrome.

Ứng dụng được sử dụng bởi nhóm tin tặc APT do nhà nước tài trợ?

Các chuyên gia cho rằng, các nhóm tin tặc được nhà nước tài trợ có thể lạm dụng Google Play để phát tán các ứng dụng độc hại tới mục tiêu của chúng.

Bởi bộ ba ứng dụng độc hại mới nhất này đã được liên hệ với SideWinder, một nhóm tin tặc đã nhắm vào các mục tiêu quân sự của Pakistan, khi các mục tiêu này kết nối với các máy chủ C&C bị nghi ngờ là nằm trong cơ sở hạ tầng của SideWinder.

Bản vá cho CVE-2019-2215 đã được Google cung cấp gần như ngay sau khi lỗ hổng này lần đầu tiên được phát hiện, nhưng có thể chưa được phổ biến cho mọi người dùng Android.

Người dùng được khuyến nghị là cần cẩn trọng về các ứng dụng mà họ cài đặt trên các thiết bị của mình. Cửa hàng ứng dụng Google Play có thể lưu trữ ít ứng dụng độc hại hơn nhiều so với thị trường ứng dụng của bên thứ ba, tuy nhiên các mối nguy hại trên đó vẫn tồn tại.