Các nhà nghiên cứu của McAfee đã phát hiện ra dấu vết của phần mềm độc hại mới nhắm vào điện thoại thông minh Android. Loại virus này nổi bật ở chỗ khai thác .NET MAUI (Multi-platform App UI), một nền tảng đa nền tảng do Microsoft phát triển để tạo các ứng dụng gốc dành cho thiết bị di động và máy tính để bàn. Ra mắt vào năm 2022, khuôn khổ phát triển này thay thế Xamarin, một khuôn khổ khác được Microsoft mua lại vào năm 2016 nhưng hiện đã kết thúc hỗ trợ. đến hết nhiệm kỳ vào năm ngoái.
Để sử dụng nền tảng này trong các cuộc tấn công, tin tặc sẽ phát triển một ứng dụng Android độc hại bằng ngôn ngữ lập trình C# và NET MAUI. Họ sẽ lưu trữ mã ứng dụng dưới dạng tệp BLOB (Binary Large Object), điều này khá bất thường.
Hơn nữa, tin tặc sử dụng rất nhiều chiến thuật để không bị phát hiện. McAfee trích dẫn các thuật toán mã hóa, xáo trộn dữ liệu ứng dụng, thực thi nhiều giai đoạn và thêm các chuỗi ngẫu nhiên không cần thiết vào một số tệp tin cần thiết. Những thủ thuật này giúp làm vấn đề trở nên phức tạp hơn và khó phát hiện hơn. McAfee giải thích rằng "với những kỹ thuật trốn tránh này, các mối đe dọa có thể ẩn náu trong thời gian dài, khiến việc phân tích và phát hiện trở nên khó khăn hơn nhiều". Các nhà nghiên cứu đã phát hiện ra một số loại ứng dụng độc hại khai thác NET MAUI, bao gồm các ứng dụng ngân hàng, hẹn hò và giao tiếp giả mạo. Các chuyên gia cũng đang ghim một số phiên bản gian lận của X, mạng xã hội trước đây được gọi là Twitter. Tội phạm mạng phân phối các ứng dụng giả mạo "thông qua các trang web của bên thứ ba hoặc các cửa hàng ứng dụng thay thế". Các mối đe dọa này "ngụy trang thành các ứng dụng hợp pháp, nhắm vào người dùng để đánh cắp thông tin nhạy cảm.".
Hiện tại, các ứng dụng độc hại chủ yếu nhắm vào người dùng Internet cư trú tại Trung Quốc và Ấn Độ. McAffe đã phát hiện ra các bản sao ứng dụng từ một số ngân hàng Ấn Độ. Tuy nhiên, rất có thể chiến thuật này sẽ nhanh chóng lan rộng ra toàn thế giới.
Như thường lệ, chúng tôi khuyên bạn không bao giờ tải xuống ứng dụng mà bạn không biết nguồn gốc. Trước khi cài đặt ứng dụng, hãy dành thời gian đọc các bài đánh giá và kiểm tra xem ai là người phát triển ứng dụng đó. Những bước đơn giản này thường giúp phát hiện các vụ lừa đảo và tránh được những điều bất ngờ rất tệ hại.
Nguồn: McAfee
Để sử dụng nền tảng này trong các cuộc tấn công, tin tặc sẽ phát triển một ứng dụng Android độc hại bằng ngôn ngữ lập trình C# và NET MAUI. Họ sẽ lưu trữ mã ứng dụng dưới dạng tệp BLOB (Binary Large Object), điều này khá bất thường.
Tin tặc lừa đảo bảo mật Android
Mẹo này cho phép bạn vượt qua các công cụ bảo mật do Google triển khai trong hệ điều hành. Trên thực tế, Android không được lập trình để phân tích các tệp BLOB từ một ứng dụng. Đây là lý do tại sao tội phạm mạng sẽ ẩn phần mềm độc hại và chức năng gian lận trong các tệp BLOB. Phần mềm độc hại nằm trong các tệp nhị phân này. Trên thực tế, Google không thể phát hiện bất kỳ hoạt động đáng ngờ nào dù là nhỏ nhất. Ứng dụng này có thể xuất hiện trên Play Store, nơi cô ấy có thể tìm thấy vô số nạn nhân tiềm năng. Nó cũng có thể được cài đặt dưới dạng APK mà không gây ra cảnh báo trên Android.Hơn nữa, tin tặc sử dụng rất nhiều chiến thuật để không bị phát hiện. McAfee trích dẫn các thuật toán mã hóa, xáo trộn dữ liệu ứng dụng, thực thi nhiều giai đoạn và thêm các chuỗi ngẫu nhiên không cần thiết vào một số tệp tin cần thiết. Những thủ thuật này giúp làm vấn đề trở nên phức tạp hơn và khó phát hiện hơn. McAfee giải thích rằng "với những kỹ thuật trốn tránh này, các mối đe dọa có thể ẩn náu trong thời gian dài, khiến việc phân tích và phát hiện trở nên khó khăn hơn nhiều". Các nhà nghiên cứu đã phát hiện ra một số loại ứng dụng độc hại khai thác NET MAUI, bao gồm các ứng dụng ngân hàng, hẹn hò và giao tiếp giả mạo. Các chuyên gia cũng đang ghim một số phiên bản gian lận của X, mạng xã hội trước đây được gọi là Twitter. Tội phạm mạng phân phối các ứng dụng giả mạo "thông qua các trang web của bên thứ ba hoặc các cửa hàng ứng dụng thay thế". Các mối đe dọa này "ngụy trang thành các ứng dụng hợp pháp, nhắm vào người dùng để đánh cắp thông tin nhạy cảm.".
Trộm cắp dữ liệu hàng loạt
Sau khi được cài đặt trên điện thoại thông minh của mục tiêu mà không được Play Protect biết, ứng dụng sẽ yêu cầu thông tin đăng nhập, chẳng hạn như mật khẩu. Dữ liệu nhạy cảm này sẽ bị rò rỉ và gửi đến các máy chủ ở xa do tin tặc nắm giữ. Trong trường hợp có thông tin xác thực ngân hàng, kẻ lừa đảo sẽ có thể đăng nhập vào tài khoản để thực hiện giao dịch. mà nạn nhân không hề hay biết. Trong quá trình này, một số ứng dụng thu thập tất cả tin nhắn văn bản của mục tiêu, có thể với hy vọng chặn được mã đăng nhập để xác thực hai yếu tố.Hiện tại, các ứng dụng độc hại chủ yếu nhắm vào người dùng Internet cư trú tại Trung Quốc và Ấn Độ. McAffe đã phát hiện ra các bản sao ứng dụng từ một số ngân hàng Ấn Độ. Tuy nhiên, rất có thể chiến thuật này sẽ nhanh chóng lan rộng ra toàn thế giới.
Như thường lệ, chúng tôi khuyên bạn không bao giờ tải xuống ứng dụng mà bạn không biết nguồn gốc. Trước khi cài đặt ứng dụng, hãy dành thời gian đọc các bài đánh giá và kiểm tra xem ai là người phát triển ứng dụng đó. Những bước đơn giản này thường giúp phát hiện các vụ lừa đảo và tránh được những điều bất ngờ rất tệ hại.
Nguồn: McAfee
