CanesSpy Mobile Malware

Các chuyên gia an ninh mạng đã phát hiện ra một số phiên bản sửa đổi của WhatsApp dành cho Android bao gồm một mô-đun phần mềm gián điệp có tên CanesSpy. Các biến thể bị thay đổi này của ứng dụng nhắn tin phổ biến này đã được quan sát thấy đang được phân phối thông qua các trang web có vấn đề quảng cáo phần mềm này, cũng như các kênh Telegram chủ yếu được người nói tiếng Ả Rập và tiếng Azerbaijan thường xuyên lui tới.

Một trong những kênh Telegram này có số lượng người dùng hơn 2 triệu. Ứng dụng khách WhatsApp đã sửa đổi chứa các thành phần đáng ngờ, cụ thể là dịch vụ và bộ thu phát sóng, không có trong ứng dụng WhatsApp chính thức. Phân tích hoạt động cho thấy phần mềm gián điệp này đã hoạt động từ giữa tháng 8 năm 2023 và mục tiêu chính của nó là nhắm mục tiêu vào Azerbaijan, Ả Rập Saudi, Yemen, Thổ Nhĩ Kỳ và Ai Cập.

Phần mềm độc hại CanesSpy thu thập nhiều loại dữ liệu nhạy cảm từ các thiết bị bị xâm nhập

Các bổ sung mới được thiết kế để kích hoạt mô-đun phần mềm gián điệp khi điện thoại khởi động hoặc khi bắt đầu sạc. Sau khi kích hoạt, phần mềm gián điệp tiến hành thiết lập kết nối với máy chủ Chỉ huy và Kiểm soát (C2) và sau đó gửi thông tin về thiết bị bị xâm nhập. Thông tin này bao gồm IMEI của thiết bị, số điện thoại, mã quốc gia di động và mã mạng di động.

CanesSpy cũng định kỳ truyền thông tin chi tiết về danh bạ và tài khoản của nạn nhân, cứ 5 phút một lần. Ngoài ra, nó còn chờ hướng dẫn thêm từ máy chủ C2 mỗi phút, một cài đặt có thể được điều chỉnh khi cần.

Các hướng dẫn này có thể bao gồm các hành động như gửi tệp từ bộ nhớ ngoài, truy xuất danh bạ, ghi âm từ micrô của thiết bị, truyền dữ liệu về cấu hình bộ cấy và sửa đổi chi tiết máy chủ C2. Việc sử dụng các tin nhắn dành riêng bằng tiếng Ả Rập được gửi đến máy chủ C2 cho thấy rằng nhà điều hành chịu trách nhiệm về hoạt động này thành thạo tiếng Ả Rập.

Tin tặc tiếp tục lạm dụng các ứng dụng hợp pháp để cung cấp các công cụ phần mềm độc hại

Xu hướng đang diễn ra này thể hiện mô hình khai thác liên tục các phiên bản đã sửa đổi của các nền tảng nhắn tin như Telegram và WhatsApp làm đường dẫn phát tán phần mềm độc hại đến những người dùng không nghi ngờ.

Các bản mod WhatsApp này thường được lưu hành thông qua các cửa hàng ứng dụng Android của bên thứ ba, thường thiếu các biện pháp và cơ chế bảo mật nghiêm ngặt cần thiết để phát hiện và xóa phần mềm không an toàn. Bất chấp sự phổ biến rộng rãi của các tài nguyên này, bao gồm các cửa hàng ứng dụng của bên thứ ba và các kênh Telegram, điều quan trọng cần lưu ý là mức độ phổ biến không đảm bảo sự an toàn của phần mềm được cung cấp thông qua chúng. Người dùng được khuyên nên thận trọng và biết về những rủi ro tiềm ẩn liên quan đến các nguồn không chính thức này khi cân nhắc tải xuống và sử dụng các ứng dụng đã sửa đổi.

Các mối đe dọa phần mềm gián điệp có thể dẫn đến hậu quả đáng kể cho nạn nhân

Các mối đe dọa phần mềm gián điệp có thể dẫn đến hậu quả đáng kể cho nạn nhân do tính chất xâm nhập và gây hại của chúng. Dưới đây là một số cách mà những mối đe dọa này có thể gây ra tác động nghiêm trọng:

• • Mất quyền riêng tư : Phần mềm gián điệp được thiết kế để bí mật thu thập thông tin cá nhân, chẳng hạn như thao tác gõ phím, thói quen duyệt web, thông tin đăng nhập và thậm chí cả bản ghi âm thanh hoặc video. Nạn nhân có thể bị xâm phạm sâu sắc quyền riêng tư của họ, khiến thông tin riêng tư hoặc nhạy cảm rơi vào tay kẻ xấu.

• • Trộm cắp danh tính : Dữ liệu do phần mềm gián điệp thu thập có thể được sử dụng để đánh cắp danh tính, giúp những kẻ tấn công có quyền truy cập vào tài khoản tài chính, thông tin cá nhân và hồ sơ mạng xã hội. Nạn nhân có thể phải đối mặt với tổn thất tài chính và tổn hại đến danh tiếng trực tuyến của họ.

• • Hậu quả tài chính : Một số chủng phần mềm gián điệp được thiết kế đặc biệt để nhắm mục tiêu vào các giao dịch tài chính. Điều này có thể dẫn đến việc truy cập trái phép vào tài khoản ngân hàng, gian lận thẻ tín dụng hoặc đánh cắp tiền điện tử, dẫn đến tổn thất tài chính cho nạn nhân.

• • Vi phạm dữ liệu : Phần mềm gián điệp có thể truyền thông tin nhạy cảm đến các tác nhân liên quan đến lừa đảo, dẫn đến vi phạm dữ liệu có thể ảnh hưởng không chỉ đến cá nhân mà còn cả các tổ chức, đặc biệt nếu nạn nhân là nhân viên có quyền truy cập vào dữ liệu của công ty.

• • Hậu quả pháp lý : Trong một số trường hợp, việc sử dụng phần mềm gián điệp có thể gây ra hậu quả pháp lý cho cả nạn nhân và thủ phạm. Luật pháp khác nhau tùy theo khu vực pháp lý, nhưng việc giám sát trái phép hoặc đánh cắp dữ liệu có thể dẫn đến cáo buộc hình sự và kiện tụng dân sự.

• • Tài khoản bị xâm phạm : Phần mềm gián điệp có thể lấy thông tin đăng nhập của nhiều tài khoản khác nhau, giúp kẻ tấn công dễ dàng chiếm quyền kiểm soát email, mạng xã hội và các tài khoản trực tuyến khác. Điều này có thể dẫn đến việc sử dụng trái phép các tài khoản này, có khả năng gây tổn hại đến danh tiếng trực tuyến của nạn nhân.

• • Tuyên truyền nội dung cá nhân : Nếu phần mềm gián điệp chụp ảnh, video hoặc tin nhắn cá nhân, nó có thể dẫn đến việc phổ biến nội dung riêng tư mà không có sự đồng ý của nạn nhân, gây tổn thương tinh thần và tổn hại danh tiếng.

Tóm lại, các mối đe dọa phần mềm gián điệp không chỉ vi phạm quyền riêng tư mà còn có thể dẫn đến nhiều hậu quả tiêu cực khác nhau, bao gồm tổn thất tài chính, đánh cắp danh tính, đau khổ về tinh thần và thậm chí cả các vấn đề pháp lý. Để bảo vệ khỏi phần mềm gián điệp, điều cần thiết là phải duy trì các biện pháp an ninh mạng mạnh mẽ, sử dụng phần mềm bảo mật uy tín và thận trọng khi tải xuống ứng dụng hoặc nhấp vào liên kết.