Ứng dụng độc hại sử dụng kỹ thuật lập phiên bản lén lút để vượt qua máy quét Cửa hàng Google Play


 Các tác nhân đe dọa đang tận dụng một kỹ thuật gọi là versioning để tránh phát hiện phần mềm độc hại của Cửa hàng Google Play và nhắm mục tiêu người dùng Android.

"Các chiến dịch sử dụng phiên bản thường nhắm mục tiêu thông tin đăng nhập, dữ liệu và tài chính của người dùng", Nhóm Hành động An ninh mạng của Google (GCAT) cho biết trong Báo cáo về các mối đe dọa vào tháng 8 năm 2023 được chia sẻ với The Hacker VN.

Mặc dù phiên bản không phải là một hiện tượng mới, nhưng nó lén lút và khó phát hiện. Trong phương pháp này, nhà phát triển phát hành phiên bản ban đầu của ứng dụng trên Cửa hàng Play vượt qua kiểm tra trước khi xuất bản của Google, nhưng sau đó được cập nhật thành phần phần mềm độc hại.

Điều này đạt được bằng cách đẩy bản cập nhật từ máy chủ do kẻ tấn công kiểm soát để phục vụ mã độc trên thiết bị người dùng cuối bằng phương pháp gọi là tải mã động (DCL), biến ứng dụng thành cửa hậu một cách hiệu quả.

Đầu tháng 5 này, ESET đã phát hiện ra một ứng dụng quay phim màn hình có tên "iRecorder - Screen Recorder" vẫn vô hại trong gần một năm sau khi nó được tải lên Play Store lần đầu tiên trước khi những thay đổi độc hại được đưa ra để bí mật theo dõi người dùng.

Một ví dụ khác về phần mềm độc hại sử dụng phương pháp DCL là SharkBot, đã nhiều lần xuất hiện trên Cửa hàng Play bằng cách giả mạo là ứng dụng bảo mật và tiện ích.

SharkBot là một trojan tài chính bắt đầu chuyển tiền trái phép từ các thiết bị bị xâm nhập bằng giao thức Dịch vụ chuyển tiền tự động (ATS).

Các ứng dụng nhỏ giọt xuất hiện trên mặt tiền cửa hàng đi kèm với chức năng giảm, sau khi nạn nhân cài đặt, hãy tải xuống phiên bản đầy đủ của phần mềm độc hại để thu hút ít sự chú ý hơn.

"Trong môi trường doanh nghiệp, phiên bản thể hiện sự cần thiết của các nguyên tắc bảo vệ chuyên sâu, bao gồm nhưng không giới hạn ở việc giới hạn các nguồn cài đặt ứng dụng cho các nguồn đáng tin cậy như Google Play hoặc quản lý các thiết bị của công ty thông qua nền tảng quản lý thiết bị di động (MDM)", công ty cho biết.

Những phát hiện này được đưa ra khi ThreatFabric tiết lộ rằng các nhà cung cấp phần mềm độc hại đã khai thác một lỗi trong Android để loại bỏ các ứng dụng độc hại là lành tính bằng cách "làm hỏng các thành phần của ứng dụng" sao cho toàn bộ ứng dụng vẫn còn hiệu lực, theo KrebsOnSecurity.

"Các tác nhân có thể có một số ứng dụng được xuất bản trong cửa hàng cùng một lúc dưới các tài khoản nhà phát triển khác nhau, tuy nhiên, chỉ có một ứng dụng hoạt động độc hại, trong khi ứng dụng còn lại là bản sao lưu sẽ được sử dụng sau khi gỡ xuống", công ty an ninh mạng Hà Lan lưu ý vào tháng Sáu.

"Một chiến thuật như vậy giúp các diễn viên duy trì các chiến dịch rất dài, giảm thiểu thời gian cần thiết để xuất bản một dropper khác và tiếp tục chiến dịch phân phối."

Để giảm thiểu mọi rủi ro tiềm ẩn, người dùng Android nên bám sát các nguồn đáng tin cậy để tải ứng dụng xuống và bật Google Play Protect để nhận thông báo khi phát hiện thấy ứng dụng có khả năng gây hại (PHA) trên thiết bị.

Mới hơn Cũ hơn