Phần mềm gián điệp Android mới xuất hiện tấn công WhatsApp, Telegram

An toàn thông tin - Ngày đăng : 10:21, 02/10/2020

Phần mềm độc hại Android đến từ nhóm APT-C-23, còn được gọi là Bọ cạp hai đuôi và Bọ cạp sa mạc.

Các nhà nghiên cứu cho biết họ đã phát hiện ra một biến thể phần mềm gián điệp Android hoạt động trên các ứng dụng truyền thông xã hội như WhatsApp và Telegram.

Phần mềm gián điệp Android trên WhatsApp, Telegram - Ảnh 1.

Phần mềm độc hại, Android / SpyC32.A, hiện đang được sử dụng tích cực trong các chiến dịch nhắm vào các nạn nhân ở Trung Đông.

Phần mềm độc hại, Android/SpyC32.A hiện đang được sử dụng tích cực trong các chiến dịch nhắm vào các nạn nhân ở Trung Đông. Đây là một biến thể mới của phần mềm độc hại hiện có do nhóm APT-C-23 (còn gọi là Bọ cạp hai đuôi và Bọ cạp sa mạc) điều hành. APT-C-23 sử dụng cả các thành phần Windows và Android, trước đây đã nhắm mục tiêu các nạn nhân ở Trung Đông bằng các ứng dụng nhằm đến việc xâm phạm vào smartphone chạy hệ điều hành Android.

Theo các nhà nghiên cứu của ESET trong một báo cáo được công bố hôm 30/9: "Nghiên cứu của chúng tôi cho thấy, nhóm APT-C-23 vẫn đang hoạt động, chúng đang tìm cách nâng tầm các phần mềm gián điệp di động và triển khai các hoạt động mới. Android/SpyC32.A - phiên bản phần mềm gián điệp mới nhất của nhóm - có một số cải tiến khiến nó trở nên nguy hiểm hơn đối với nạn nhân".

Các hoạt động của APT-C-23 - bao gồm cả phần mềm độc hại di động - lần đầu tiên được mô tả vào năm 2017 bởi một số nhóm nghiên cứu bảo mật. Trong khi đó, phiên bản cập nhật, Android/SpyC23.A đã ra mắt từ tháng 5/2019 và được các nhà nghiên cứu phát hiện lần đầu tiên vào tháng 6/2020.

Các mẫu phần mềm độc hại bị phát hiện được ngụy trang thành một ứng dụng nhắn tin hợp pháp và được cung cấp thông qua Google Play. Các nhà nghiên cứu cho biết, ứng dụng độc hại có tên là WeMessage, sử dụng đồ họa hoàn toàn khác và dường như không mạo danh ứng dụng hợp pháp ngoài tên gọi. Các nhà nghiên cứu cho biết, ứng dụng độc hại này không có bất kỳ chức năng thực sự nào và chỉ dùng để làm mồi nhử cho việc cài đặt phần mềm gián điệp.

Các nhà nghiên cứu cũng cho biết họ không biết ứng dụng WeMessage giả này được phát tán như thế nào. Các phiên bản trước của phần mềm độc hại đã được phân phối trong các ứng dụng thông qua một cửa hàng ứng dụng Android giả mạo, được gọi là cửa hàng "DigitalApps". Cửa hàng ứng dụng giả mạo đã phân phối cả ứng dụng hợp pháp cũng như ứng dụng giả mạo là AndroidUpdate, Threema và Telegram. Tuy nhiên, các nhà nghiên cứu cho biết rằng ứng dụng WeMessage giả mạo không có trên cửa hàng "DigitalApps".

Các phiên bản được ghi nhận trước đây của phần mềm gián điệp này có nhiều khả năng khác nhau, bao gồm khả năng chụp ảnh, ghi âm, trích lọc nhật ký cuộc gọi, tin nhắn SMS và danh bạ, v.v... Chúng làm được như vậy là nhờ vào việc yêu cầu một số quyền truy cập, sử dụng các kỹ thuật giống như thật để đánh lừa những người dùng thiếu kinh nghiệm về mặt kỹ thuật.

Phiên bản Android/SpyC32.A mới nhất này có khả năng giám sát mở rộng, nhắm mục tiêu cụ thể là thu thập thông tin từ các ứng dụng nhắn tin và mạng xã hội. Phần mềm gián điệp hiện có thể ghi lại màn hình của nạn nhân và chụp ảnh màn hình, ghi lại các cuộc gọi đến và đi trong WhatsApp, đọc văn bản thông báo từ các ứng dụng mạng xã hội, bao gồm WhatsApp, Facebook, Skype và Messenger.

Hiền Thục