Trang nhà > Công nghệ > An ninh > Mã độc SecuriDropper vượt qua hàng rào bảo mật trên điện thoại Android
Mã độc SecuriDropper vượt qua hàng rào bảo mật trên điện thoại Android
Thứ Năm 9, Tháng Mười Một 2023, bởi
Ngày 6-11-2023, ThreatFabric một công ty an ninh mạng của Hà Lan ra thông báo phát hiện SecuriDropper là thủ phạm của một chiến dịch tin tặc tấn công qua mạng vào những điện thoại thông minh có trang bị phiên bản hệ điều hành Android 13.
Droppers (công cụ nhỏ giọt) là một loại mã độc cụ thể có mục đích chính là cài đặt tải lên thiết bị lây nhiễm. Việc sử dụng Droppers cho phép các tác nhân tách biệt quá trình phát triển và thực hiện cuộc tấn công khỏi việc cài đặt mã độc. Bản thân đây cũng có thể là một nỗ lực kinh doanh vì nhiều tác nhân chọn tập trung vào phát triển Droppers có thể được bán cho các tội phạm khác như một phần của thứ thường được định nghĩa là MaaS (Malware-as-a-Service: Mã độc dưới dạng dịch vụ).
Không có gì ngạc nhiên khi Droppers nổi lên như một phương pháp ưa thích để triển khai mã độc trên thiết bị của người dùng mà không gây nghi ngờ gì. Các tác nhân mã độc đang ngày càng tập trung nhiều năng lượng và nỗ lực hơn vào khía cạnh này trong chiến lược phân phối của chúng để tăng phạm vi tiếp cận nhiều nhất có thể. ThreatFabric cho biết đã phát hiện các mã độc kiểu Banking Trojan được phân phối qua SecuriDropper trên các trang web lừa đảo và nền tảng của bên thứ ba như Discord. Cũng còn may là trên các điện thoại iPhone hiện nay chưa thấy có thông báo nào tương tự như vậy.
Công ty ThreatFabric nhận thấy một sản phẩm Dropper-as-a-Service (DaaS) mới đây vượt qua Cài đặt bị hạn chế (Restricted Settings) bằng phương pháp mà công ty đã xác định vào năm 2022. Công ty đặt tên cho dòng dropper này là SecuriDropper. Gần như cùng lúc đó, các nhà nghiên cứu của công ty cũng nhận thấy một quảng cáo mới trên các diễn đàn tội phạm mạng về dịch vụ Zombinder, quảng cáo này cũng tuyên bố sẽ vượt qua Cài đặt hạn chế.
ThreatFabric cho biết đã phát hiện các mã độc kiểu Banking Trojan được phân phối qua SecuriDropper trên các trang web lừa đảo và nền tảng của bên thứ ba như Discord. Cũng còn may là trên các điện thoại iPhone hiện nay chưa thấy có thông báo nào tương tự như vậy.
Theo ThreatFabric, mã độc SecuriDropper được thiết kế để hoạt động như một đường dẫn có thể xâm nhập vào thiết bị của nạn nhân kể cả những điện thoại có phiên bản hệ điều hành Android đời mới nhất. Ngay cả hệ điều hành Android 13 - được Google bổ sung biện pháp bảo mật mới tên là Restricted Settings (cài đặt hạn chế) giúp ngăn chặn các ứng dụng đã được tải sẵn có sử dụng quyền trợ năng và truy cập thông báo - cũng có thể bị SecuriDropper qua mặt.
Restricted Settings (Cài đặt bị hạn chế) là tính năng an ninh được giới thiệu từ phiên bản Android 13 nhằm ngăn các ứng dụng đến từ bên ngoài Google Play truy cập vào Accessibility (Trợ năng truy cập) và Notification Listener (Truy cập thông báo). Nếu phát hiện ứng dụng yêu cầu các quyền này, Restricted Settings sẽ lập tức cảnh báo, ngăn chặn, người dùng sẽ không thể cấp các quyền này cho ứng dụng vừa cài.
Tuy nhiên, tin tặc sử dụng mã độc SecuriDroppe bằng cách chia nhỏ việc cài đặt thành nhiều bước. Đầu tiên, một phần mềm giả mạo tạm gọi là A không đòi quyền đặc biệt sẽ lừa để cài vào máy nạn nhân. Sau đó, A sẽ gọi các API của Android để giả mạo một phiên cài đặt của Google Play, giúp cài mã độc B lên điện thoại và qua mặt được Restricted Settings. Mã độc B lúc này có thể xin được các quyền Trợ năng và Notification Listener mà không bị cấm.
Dù cho người dùng đã nâng cấp lên phiên bản mới nhất là Android 14 vừa ra mắt thì cũng vẫn bị mã độc tấn công theo phương thức này. Theo các chuyên gia mạng, trong thời gian chờ đợi Google cập nhật hệ điều hành Android với sự cải tiến hàng rào an ninh mới, người dùng Android nên tránh tải xuống file APK từ những địa chỉ nguồn gốc không tin cậy.
Xem online : Bypassing Android 13 Restrictions with SecuriDropper
NCCong 8/11/2023