Phát hiện mã độc đánh cắp mã xác thực hai yếu tố trên Android

TH| 25/09/2020 09:19
Theo dõi ICTVietnam trên

Công ty bảo mật Check Point vừa phát hiện một nhóm tin tặc Iran đang âm thầm phát triển một loại phần mềm độc hại trên Android có khả năng chặn và đánh cắp mã xác thực hai yếu tố (2FA) thông qua SMS.

Check Point cho biết nhóm này đã hoạt động ít nhất 6 năm và đã tham gia vào một hoạt động giám sát liên tục nhắm tới một bộ phận thiểu số người Iran, các tổ chức chống chính quyền, các phong trào phản kháng như Hiệp hội những người lưu vong tại trại tị nạn Ashraf và cư dân tự do (AFALR), Tổ chức Kháng chiến Quốc gia Azerbaijan và các công dân của Balochistan.

Nhóm tin tặc này có tên là Rampant Kitten. Theo Check Point, chiến dịch của Rampant Kitten sử dụng nhiều loại phần mềm độc hại, bao gồm 4 biến thể giả mạo Windows, một backdoor (cửa hậu) trên Android ngụy trang bên trong các ứng dụng tưởng chừng vô hại.

Phát hiện mã độc đánh cắp mã xác thực hai yếu tố trên Android  - Ảnh 1.

Nhằm mục tiêu vào KeePass và Telegram

Các chủng phần mềm độc hại trên Windows chủ yếu được sử dụng để đánh cắp tài liệu cá nhân của nạn nhân bao gồm cả các tập tin từ ứng dụng Telegram trên Windows, sau đó truy cập vào tài khoản Telegram của nạn nhân. 

Ngoài ra, các chủng phần mềm độc hại trên Windows còn có khả năng đánh cắp tập tin từ trình quản lý mật khẩu KeePass. Điều này phù hợp với các mô tả trong một cảnh báo chung của Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra liên bang Mỹ (FBI) về tin tặc Iran và phần mềm độc hại của chúng được công bố mới đây.

Theo Check Point, chuỗi lây nhiễm bắt đầu từ một tài liệu Microsoft Word có chứa phần mềm độc hại được đặt tên là "The Regime Fears the Spread of the Revolutionary Cannons.docx" (Chính quyền lo sợ sự lây lan của cuộc cách mạng Cannons.docx). Khi tập tin word này được mở, nó sẽ thực thi một payload ở giai đoạn tiếp để kiểm tra xem liệu có sự hiện diện của ứng dụng Telegram trên hệ thống Windows hay không. Nếu có, nó sẽ thả thêm ba tập thực thi độc hại khác để tải xuống các mô-đun phụ trợ (auxiliary module) và trích xuất các các tập tin liên quan đến Telegram Desktop và KeePass từ máy tính của nạn nhân. 

Việc trích xuất các tập tin trên sẽ cho phép kẻ tấn công giành quyền kiểm soát tài khoản Telegram của nạn nhân, từ đó đánh cắp tin nhắn, cũng như cóp nhặt tất cả các tập tin với phần mở rộng cụ thể và chuyển tới một máy chủ mà chúng kiểm soát.

Từ lâu, nhiều nước trên thế giới đã tạo những ứng dụng có vẻ vô hại để theo dõi hoạt động của công dân, hoặc mở rộng theo dõi công dân của những nước khác vì mục đích chính trị. Theo Check Point, nhóm tin tặc trên đã nhắm vào những tổ chức, cá nhân có hành vi phản động, đối đầu chính trị với Iran.

Đánh cắp mã xác thực hai yếu tố từ tin nhắn SMS của Google

Ngoài việc phát triển trojan Windows, nhóm tin tặc Rampant Kitten cũng phát triển các công cụ tương tự trên Android. Cửa hậu (backdoor) trên Android có khả năng đánh cắp mã xác thực hai yếu tố (2FA) từ các tin nhắn SMS, không nhắm vào một dịch vụ cố định nào mà triển khai trên cả Google, Telegram và một số dịch vụ truyền thông xã hội lớn khác.

Các nhà nghiên cứu của Check Point cho biết cửa hậu trên Android có thể đánh cắp thông tin danh bạ và tin nhắn SMS của nạn nhân, âm thầm ghi âm nạn nhân qua micrô và hiển thị các trang lừa đảo, nhưng chủ yếu tập trung vào dữ liệu xác thực hai yếu tố. Các nhà nghiên cứu của Check Point đã tìm thấy những loại phần mềm độc hại này trong một ứng dụng ngụy trang dịch vụ giúp người Ba Tư ở Thụy Điển lấy bằng lái xe.

Đặc biệt, phần mềm độc hại còn được thiết kế để chặn và chuyển tiếp tất cả các tin nhắn SMS bắt đầu bằng tiền tố 'G-' (thường được sử dụng cho việc xác thực hai yếu tố qua SMS của Google) đến kẻ tấn công.

Cụ thể, nhóm tin tặc sử dụng một Trojan Android để hiển thị một trang web lừa đảo nhằm thu thập thông tin đăng nhập, sau đó thử những thông tin đó trên trang web chính thống. Trong trường hợp nạn nhân bật xác thực hai yếu tố, phần mềm độc hại này sẽ chặn các tin nhắn SMS đến và âm thầm gửi bản sao cho những kẻ tấn công. Từ đó cho phép kẻ tấn công đánh cắp thông tin xác thực của nạn nhân, bằng cách đăng nhập vào tài khoản hợp pháp Google và vượt qua xác thực 2FA.

Phát hiện mã độc đánh cắp mã xác thực hai yếu tố trên Android  - Ảnh 2.

Check Point cho biết họ đã phát hiện ra nhiều biến thể khác nhau của phần mềm độc hại từ năm 2014. Một số phiên bản của nó được sử dụng đồng thời nhưng giữa chúng có sự khác biệt đáng kể về cấu tạo cũng như chức năng.

"Chúng tôi nhận thấy rằng mặc dù một số biến thể được sử dụng đồng thời, nhưng chúng được viết bằng các ngôn ngữ lập trình khác nhau, sử dụng đa dạng các giao thức truyền thông tin và không phải lúc nào cũng đánh cắp cùng một loại thông tin," công ty an ninh mạng khẳng định.

Nhưng đó không phải là tất cả. Check Point cũng tìm thấy bằng chứng cho thấy phần mềm độc hại còn sẽ tự động chuyển tiếp tất cả các tin nhắn SMS đến từ Telegram và các ứng dụng mạng xã hội khác. Các loại tin nhắn này cũng chứa mã 2FA và rất có thể nhóm đã sử dụng chức năng này để vượt qua xác thực 2FA trên nhiều tài khoản Google.

Thực tế, việc các nhóm tin tặc được chính phủ hậu thuẫn có thể vượt qua xác thực hai yếu tố không phải điều quá mới, nhưng hiếm khi các chuyên gia được xem tường tận hệ thống đó hoạt động như thế nào. 

Trong thời gian gần đây, nhiều nhà phát triển ứng dụng từ các dịch vụ trực tuyến đến các trò chơi đều cung cấp hệ thống xác thực hai yếu tố với tuyên bố phương thức xác thực này có thể đảm bảo an toàn cho các tài khoản, các thiết bị thông minh của người dùng. Mặc dù xác thực hai yếu tố không có nghĩa là tài khoản của bạn miễn nhiễm với các cuộc tấn công. Nó chỉ làm cho tài khoản của bạn trở nên an toàn hơn do tin tặc phải crack nhiều hơn một mật khẩu đơn giản. Một số nghiên cứu gần đây đã cho thấy đây không còn là một biện pháp an toàn nữa, nhất là với những nhóm tin tặc được chính phủ hậu thuẫn. 

Để bảo vệ tài khoản của chính mình, người dùng nên kiểm tra kỹ quy trình xác minh kép nhằm cá nhân hóa và độc lập hơn giữa hai phương thức, đồng thời có thể sử dụng thêm các phương pháp bảo vệ khác như khóa bảo mật phần cứng.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Việt Nam - Malaysia nâng cấp quan hệ Đối tác chiến lược toàn diện
    Phát biểu tại họp báo, Tổng Bí thư Tô Lâm cho biết, Việt Nam-Malaysia tăng cường hợp tác trên các lĩnh vực mới (như kinh tế xanh, đổi mới sáng tạo, khoa học công nghệ, chuyển đổi số, năng lượng xanh...).
  • Chìa khóa giải quyết thách thức trong bảo vệ trẻ em trên không gian mạng
    Trẻ em - đối tượng dễ bị tổn thương nhất, đang phải đối mặt với nhiều nguy cơ. Đây không chỉ là bài toán của riêng Việt Nam mà còn là thách thức toàn cầu đòi hỏi sự chung tay hợp tác từ nhiều phía.
  • Việt Nam đang đối mặt 3 thách thức an toàn thông tin
    Các cuộc tấn công mạng hiện nay ngày càng tinh vi và phức tạp hơn, đặc biệt khi có sự hỗ trợ của trí tuệ nhân tạo. Tuy nhiên, việc kết hợp công nghệ này với trí tuệ của con người đã giúp phát hiện và phòng, chống tấn công mạng hiệu quả hơn.
  • Chuyển đổi số thành công không thể thiếu “niềm tin số”
    Muốn triển khai hiệu quả chiến lược số hóa quốc gia cần triển khai theo hướng tiếp cận từ trên xuống dưới và phải phù hợp với thực tế, đảm bảo có tầm nhìn rộng trong tương lai.
  • Việt Nam - Hàn Quốc đồng hành trong kỷ nguyên AI
    Thứ trưởng Bộ TT&TT Phan Tâm hy vọng, Việt Nam có thể học tập nhiều hơn từ Hàn Quốc về các bài học kinh nghiệm, cách làm hay để phát huy tối đa vai trò công nghệ số nói chung và trợ lý ảo nói riêng trong hoạt động của cơ quan nhà nước, thúc đẩy phát triển kinh tế, tạo lập xã hội số nhân văn và thu hẹp khoảng cách số.
Đừng bỏ lỡ
  • Bốn giải pháp trọng tâm để giải bài toán an toàn dữ liệu quốc gia
    Theo Thứ trưởng Bộ TT&TT Bùi Hoàng Phương, năm 2024 đánh dấu bước tiến vượt bậc của Việt Nam trong lĩnh vực an toàn thông tin. Tuy nhiên, còn rất nhiều thách thức cần vượt qua để đảm bảo an toàn dữ liệu quốc gia.
  • Việt Nam tăng cường hợp tác phát triển công nghệ số với Burundi và NIPA
    Trong khuôn khổ sự kiện Tuần lễ Số quốc tế 2024, Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng đã tiếp và làm việc với Bộ trưởng Bộ Truyền thông, Công nghệ Thông tin và Đa phương tiện Burundi Léocadie Ndacayisaba và ông Hur Sung Wook, Chủ tịch Cục Xúc tiến Công nghiệp CNTT quốc gia Hàn Quốc (NIPA).
  • Chính thức ra mắt Nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin
    Nền tảng hướng tới nâng cao chất lượng và điều phối hiệu quả các hoạt động diễn tập trên toàn quốc thông qua nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin.
  • Robot Delta hữu dụng trong nhiều ngành
    Nhờ vào thiết kế độc đáo và khả năng hoạt động với tốc độ và độ chính xác cao, robot Delta là một giải pháp tối ưu trong nhiều ngành công nghiệp hiện đại.
  • Cà Mau ứng dụng các phần mềm chuyển đổi số trong ngành nông nghiệp
    Ngành nông nghiệp tỉnh Cà Mau đã không ngừng triển khai các giải pháp chuyển đổi số thông qua việc sử dụng các phần mềm, xây dựng cơ sở dữ liệu chuyên ngành phục vụ quản lý, điều hành. Trong tương lai không xa, các phần mềm này sẽ hoàn thiện và bắt kịp xu hướng công nghệ để hỗ trợ người nông dân nhiều hơn trong việc tăng gia sản xuất.
  • Bảo vệ các hệ thống mạng trọng yếu là cấp thiết
    Song song với tiến trình chuyển đổi số, các chiến dịch tấn công mạng, gián điệp và khủng bố mạng nhằm vào hệ thống công nghệ thông tin (IT) và công nghệ vận hành (OT) trọng yếu ngày càng gia tăng, việc đảm bảo an ninh mạng trở thành ưu tiên hàng đầu của các quốc gia.
  • ‏OPPO Find X8 Series sẽ chính thức lên kệ ngày 7/12‏
    Ngày 21/11, OPPO chính thức ra mắt Find X8 Series‏‏ tại Việt Nam và sẽ lên kệ ngày 7/12 tới. Đây là lần đầu tiên người dùng Việt Nam được trải nghiệm dòng flagship cao cấp nhất của OPPO cùng lúc với toàn cầu. ‏
  • Chuyển đổi số từ thực tiễn Báo Hải Dương
    Báo Hải Dương có nhiều thuận lợi khi thực hiện chuyển đổi số. Đó là Ban Biên tập có quyết tâm cao. Đội ngũ cán bộ, phóng viên, nhân viên của báo nhanh nhạy với cái mới, ham học hỏi...
  • Đưa siêu ứng dụng "Công dân Thủ đô số - iHanoi" vào cuộc sống
    “Công dân Thủ đô số” - iHaNoi là kênh tương tác trực tuyến trên môi trường số giữa người dân, doanh nghiệp với các cấp chính quyền thành phố Hà Nội. Qua ứng dụng này, người dân và doanh nghiệp có thể phản ánh các vấn đề đời sống, từ đó giúp chính quyền tiếp nhận và giải quyết kịp thời.
  • Sự gia tăng của ứng dụng AI tạo sinh: Những rủi ro tiềm ẩn cho xã hội và con người
    AI tạo sinh là một trong những thành tựu công nghệ mới nhất của con người trong thập niên 20 của thế kỷ XXI. Cho đến nay, sự ứng dụng của AI tạo sinh đã tạo ra nhiều cuộc tranh luận quan trọng trong các nghiên cứu xã hội, đặc biệt là trong lĩnh vực triết học. AI tạo sinh đã thách thức nhiều khái niệm và định kiến của chúng ta về bản thân mình, đặc biệt là về cách chúng ta hiểu về tư duy và bản chất của tư duy con người.
Phát hiện mã độc đánh cắp mã xác thực hai yếu tố trên Android
POWERED BY ONECMS - A PRODUCT OF NEKO