Một chiến dịch mới đang đưa phần mềm độc hại SpyNote gây rắc rối trở lại và trojan truy cập từ xa này có nhiều khả năng gây hại trong khi cũng khá khó để xóa khỏi điện thoại thông minh Android bị nhiễm.
Theo báo cáo của SiliconANGLE, lần này nó được phát tán thông qua các trang web giả mạo được lưu trữ trên các tên miền đã đăng ký gần đây; các trang web đang bị nghi ngờ đang bắt chước các trang ứng dụng của Cửa hàng Google Play với độ chi tiết cực kỳ chính xác nhằm lừa người dùng tải xuống các tệp bị nhiễm thay vì các ứng dụng mà họ đang tìm kiếm.
Các trang web lừa đảo bao gồm các thành phần chi tiết như băng chuyền hình ảnh có ảnh chụp màn hình của các ứng dụng bị cáo buộc đang bị nghi ngờ, các nút cài đặt và phần còn lại của mã - tất cả các thành phần trực quan quen thuộc được sử dụng để tạo ra ảo giác về tính hợp pháp.
Khi người dùng bị lừa nhấp vào nút cài đặt trên một trong những trang web giả mạo này, mã JavaScript sẽ được thực thi, kích hoạt quá trình tải xuống tệp APK độc hại. APK thả này thực thi một hàm triển khai APK thứ hai được nhúng. Tải trọng thứ cấp này là tải trọng mang chức năng cốt lõi của phần mềm độc hại và sẽ cho phép nó giao tiếp với các máy chủ chỉ huy và kiểm soát (C2) của tác nhân đe dọa bằng cách sử dụng các cổng và địa chỉ IP được mã hóa cứng.
Các tham số chỉ huy và kiểm soát được nhúng trong các tệp DEX của SpyNote, nghĩa là nó có thể hỗ trợ cả kết nối động và được mã hóa cứng. Và các chứng chỉ SSL và cấu hình DNS chỉ ra việc triển khai có hệ thống và tự động các trang web độc hại này, nghĩa là chúng có khả năng được phát triển bởi một người có quyền truy cập vào một công cụ phần mềm độc hại dưới dạng dịch vụ.
Bản thân SpyNote là một phần mềm độc hại đặc biệt nguy hiểm vì nó có nhiều khả năng và tính năng: Nó có thể chặn tin nhắn văn bản, nhật ký cuộc gọi và danh bạ; kích hoạt camera và micrô của điện thoại từ xa; ghi lại các lần nhấn phím (bao gồm thông tin xác thực và mã 2FA); theo dõi vị trí GPS của bạn; ghi lại các cuộc gọi điện thoại của bạn; tải xuống và cài đặt ứng dụng; xóa hoặc khóa thiết bị từ xa và ngăn chặn việc xóa chính nó bằng cách lạm dụng các dịch vụ trợ năng của Android.
Điều này phần lớn có thể thực hiện được vì các yêu cầu cấp quyền mạnh mẽ cũng cho phép SpyNote tồn tại ngay cả sau khi khởi động lại. Nó cũng có thể ẩn biểu tượng ứng dụng, tự động khởi chạy lại sau khi khởi động lại và loại trừ chính nó khỏi tối ưu hóa pin để có thể tiếp tục chạy ở chế độ nền. DomainTools LLC, công ty tình báo internet phát hiện ra chiến dịch mới nhất này, cho biết do bản chất dai dẳng của nó, cách duy nhất để loại bỏ hoàn toàn phần mềm độc hại thường là khôi phục cài đặt gốc.
Người dùng Android nên hết sức cảnh giác với các trang Cửa hàng Google Play giả mạo và đảm bảo rằng họ chỉ tải xuống ứng dụng từ một cửa hàng ứng dụng hợp pháp. Không tải APK từ những nơi không xác định và luôn luôn kiểm tra URL của các trang web bạn đang truy cập.
Các quy tắc thông thường về lừa đảo và các hoạt động web trực tuyến tốt cũng được áp dụng: Không nhấp vào liên kết, mã QR hoặc tệp đính kèm từ người gửi không xác định hoặc không mong muốn. Tương tự như vậy, việc cài đặt một trong những ứng dụng diệt vi-rút Android tốt nhất trên điện thoại thông minh của bạn và đảm bảo ứng dụng được cập nhật có thể giúp bạn an toàn khỏi các phần mềm độc hại trên thiết bị di động.
Mạo danh các thương hiệu và dịch vụ phổ biến là một trong những thủ đoạn lâu đời nhất trong sổ tay của tin tặc, đó là lý do tại sao bạn cần phải luôn cảnh giác với các trang web giả mạo, quảng cáo độc hại và các mồi nhử khác. Bằng cách này, bạn có thể giữ điện thoại và tất cả dữ liệu cá nhân và tài chính nhạy cảm trong đó an toàn khỏi tin tặc.
Theo báo cáo của SiliconANGLE, lần này nó được phát tán thông qua các trang web giả mạo được lưu trữ trên các tên miền đã đăng ký gần đây; các trang web đang bị nghi ngờ đang bắt chước các trang ứng dụng của Cửa hàng Google Play với độ chi tiết cực kỳ chính xác nhằm lừa người dùng tải xuống các tệp bị nhiễm thay vì các ứng dụng mà họ đang tìm kiếm.
Các trang web lừa đảo bao gồm các thành phần chi tiết như băng chuyền hình ảnh có ảnh chụp màn hình của các ứng dụng bị cáo buộc đang bị nghi ngờ, các nút cài đặt và phần còn lại của mã - tất cả các thành phần trực quan quen thuộc được sử dụng để tạo ra ảo giác về tính hợp pháp.
Khi người dùng bị lừa nhấp vào nút cài đặt trên một trong những trang web giả mạo này, mã JavaScript sẽ được thực thi, kích hoạt quá trình tải xuống tệp APK độc hại. APK thả này thực thi một hàm triển khai APK thứ hai được nhúng. Tải trọng thứ cấp này là tải trọng mang chức năng cốt lõi của phần mềm độc hại và sẽ cho phép nó giao tiếp với các máy chủ chỉ huy và kiểm soát (C2) của tác nhân đe dọa bằng cách sử dụng các cổng và địa chỉ IP được mã hóa cứng.
Các tham số chỉ huy và kiểm soát được nhúng trong các tệp DEX của SpyNote, nghĩa là nó có thể hỗ trợ cả kết nối động và được mã hóa cứng. Và các chứng chỉ SSL và cấu hình DNS chỉ ra việc triển khai có hệ thống và tự động các trang web độc hại này, nghĩa là chúng có khả năng được phát triển bởi một người có quyền truy cập vào một công cụ phần mềm độc hại dưới dạng dịch vụ.
Bản thân SpyNote là một phần mềm độc hại đặc biệt nguy hiểm vì nó có nhiều khả năng và tính năng: Nó có thể chặn tin nhắn văn bản, nhật ký cuộc gọi và danh bạ; kích hoạt camera và micrô của điện thoại từ xa; ghi lại các lần nhấn phím (bao gồm thông tin xác thực và mã 2FA); theo dõi vị trí GPS của bạn; ghi lại các cuộc gọi điện thoại của bạn; tải xuống và cài đặt ứng dụng; xóa hoặc khóa thiết bị từ xa và ngăn chặn việc xóa chính nó bằng cách lạm dụng các dịch vụ trợ năng của Android.
Điều này phần lớn có thể thực hiện được vì các yêu cầu cấp quyền mạnh mẽ cũng cho phép SpyNote tồn tại ngay cả sau khi khởi động lại. Nó cũng có thể ẩn biểu tượng ứng dụng, tự động khởi chạy lại sau khi khởi động lại và loại trừ chính nó khỏi tối ưu hóa pin để có thể tiếp tục chạy ở chế độ nền. DomainTools LLC, công ty tình báo internet phát hiện ra chiến dịch mới nhất này, cho biết do bản chất dai dẳng của nó, cách duy nhất để loại bỏ hoàn toàn phần mềm độc hại thường là khôi phục cài đặt gốc.
Cách giữ an toàn
Người dùng Android nên hết sức cảnh giác với các trang Cửa hàng Google Play giả mạo và đảm bảo rằng họ chỉ tải xuống ứng dụng từ một cửa hàng ứng dụng hợp pháp. Không tải APK từ những nơi không xác định và luôn luôn kiểm tra URL của các trang web bạn đang truy cập.
Các quy tắc thông thường về lừa đảo và các hoạt động web trực tuyến tốt cũng được áp dụng: Không nhấp vào liên kết, mã QR hoặc tệp đính kèm từ người gửi không xác định hoặc không mong muốn. Tương tự như vậy, việc cài đặt một trong những ứng dụng diệt vi-rút Android tốt nhất trên điện thoại thông minh của bạn và đảm bảo ứng dụng được cập nhật có thể giúp bạn an toàn khỏi các phần mềm độc hại trên thiết bị di động.
Mạo danh các thương hiệu và dịch vụ phổ biến là một trong những thủ đoạn lâu đời nhất trong sổ tay của tin tặc, đó là lý do tại sao bạn cần phải luôn cảnh giác với các trang web giả mạo, quảng cáo độc hại và các mồi nhử khác. Bằng cách này, bạn có thể giữ điện thoại và tất cả dữ liệu cá nhân và tài chính nhạy cảm trong đó an toàn khỏi tin tặc.
- Những kẻ lừa đảo đang mạo danh QuickBooks trong trò lừa đảo thuế phút chót — và nó đang đánh cắp dữ liệu tài chính
- Máy tính chạy Windows bị đe dọa bởi lỗ hổng zero-day được sử dụng trong các cuộc tấn công bằng phần mềm tống tiền — cập nhật máy tính của bạn ngay bây giờ
- Microsoft vừa vá 134 lỗi bảo mật của Windows bao gồm một lỗ hổng zero-day do tin tặc sử dụng — cập nhật máy tính của bạn ngay bây giờ
