3 Google Play Store Ứng dụng khai thác Android Zero-Day được sử dụng bởi NSO Group

Coi chừng! Nếu bạn có bất kỳ trình quản lý tệp và ứng dụng chụp ảnh nào được đề cập dưới đây được cài đặt trên điện thoại Android của bạn – ngay cả khi được tải xuống từ cửa hàng Google Store chính thức – bạn đã bị hack và bị theo dõi.

Những ứng dụng Android độc hại mới được phát hiện này là Camero, Mật mã callCam được cho là có liên quan đến Sidewinder APT, một nhóm hack tinh vi chuyên tấn công gián điệp mạng.

Theo các nhà nghiên cứu an ninh mạng tại Trend Micro, các ứng dụng này đã khai thác lỗ hổng nghiêm trọng sau khi sử dụng miễn phí trong Android ít nhất là từ tháng 3 năm ngoái – đó là 7 nhiều tháng trước khi lỗ hổng tương tự lần đầu tiên được phát hiện là zero-day khi nhà nghiên cứu Google phân tích một cuộc tấn công riêng được phát triển bởi nhà cung cấp giám sát NSO của Israel.

"Chúng tôi suy đoán rằng các ứng dụng này đã hoạt động kể từ tháng 3 năm 2019 dựa trên thông tin chứng chỉ trên một trong các ứng dụng", các nhà nghiên cứu cho biết.

Được theo dõi là CVE-2019-2215, lỗ hổng là vấn đề leo thang đặc quyền cục bộ cho phép thỏa hiệp gốc của thiết bị dễ bị tổn thương và cũng có thể bị khai thác từ xa khi kết hợp với lỗ hổng kết xuất trình duyệt riêng.

Phần mềm gián điệp này bí mật root điện thoại Android của bạn

Theo Trend Micro, FileCrypt Manager và Camero đóng vai trò là người thả và kết nối với một máy chủ chỉ huy và điều khiển từ xa để tải xuống tệp DEX, sau đó tải xuống ứng dụng callCam và cố gắng cài đặt nó bằng cách khai thác các lỗ hổng leo thang đặc quyền hoặc lạm dụng tính năng trợ năng.
loại bỏ virus android
Các nhà nghiên cứu cho biết: "Tất cả những điều này được thực hiện mà không có sự nhận thức hay can thiệp của người dùng. Để tránh bị phát hiện, nó sử dụng nhiều kỹ thuật như che giấu, mã hóa dữ liệu và gọi mã động".

Sau khi cài đặt, callCam sẽ ẩn biểu tượng của nó khỏi menu, thu thập thông tin sau từ thiết bị bị xâm nhập và gửi lại cho máy chủ C & C của kẻ tấn công trong nền:

  • Địa điểm
  • Tình trạng pin
  • Tập tin trên thiết bị
  • Danh sách ứng dụng đã cài đặt
  • Thông tin thiết bị
  • Thông tin cảm biến
  • Thông tin camera
  • Ảnh chụp màn hình
  • Tài khoản
  • Thông tin wifi
  • Dữ liệu từ WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail và Chrome.

Bên cạnh CVE-2019-2215, các ứng dụng độc hại cũng cố gắng khai thác một lỗ hổng riêng biệt trong trình điều khiển MediaTek-SU để có được quyền root và kiên trì trên một loạt các thiết bị cầm tay Android.

Dựa trên sự chồng chéo về vị trí của các máy chủ chỉ huy và kiểm soát, các nhà nghiên cứu đã nhận ra chiến dịch tới SideWinder, được cho là một nhóm gián điệp Ấn Độ nhắm vào các tổ chức lịch sử liên kết với Quân đội Pakistan.

Cách bảo vệ điện thoại Android khỏi phần mềm độc hại

Google hiện đã xóa tất cả các ứng dụng độc hại nêu trên khỏi Play Store, nhưng vì các hệ thống của Google không đủ để ngăn chặn các ứng dụng xấu ra khỏi cửa hàng chính thức, bạn phải rất cẩn thận trong việc tải xuống ứng dụng.

Để kiểm tra xem thiết bị của bạn có bị nhiễm phần mềm độc hại này hay không, hãy đi tới cài đặt hệ thống Android → Trình quản lý ứng dụng, tìm tên gói được liệt kê và gỡ cài đặt.

Để bảo vệ thiết bị của bạn trước hầu hết các mối đe dọa trên mạng, bạn nên thực hiện các biện pháp phòng ngừa đơn giản nhưng hiệu quả như:

  • giữ cho các thiết bị và ứng dụng được cập nhật,
  • tránh tải xuống ứng dụng từ các nguồn không quen thuộc,
  • luôn chú ý đến các quyền mà ứng dụng yêu cầu,
  • thường xuyên sao lưu dữ liệu và
  • cài đặt một ứng dụng chống vi-rút tốt bảo vệ chống lại phần mềm độc hại này và các mối đe dọa tương tự.

Để tránh bị nhắm mục tiêu bởi các ứng dụng như vậy, hãy luôn cẩn thận với các ứng dụng tanh, ngay cả khi tải xuống từ Google Play Storevà cố gắng chỉ gắn bó với các thương hiệu đáng tin cậy. Ngoài ra, luôn luôn xem xét các đánh giá ứng dụng do những người dùng khác đã tải xuống ứng dụng để lại và cũng xác minh các quyền của ứng dụng trước khi cài đặt bất kỳ ứng dụng nào và chỉ cấp các quyền đó có liên quan cho mục đích của ứng dụng.