Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại di động Trojan Necro

Trojan Necro

Đến năm Mezo năm Phần mềm độc hại di động, Trojan
Dịch sang:
Tiếng Việt Nam

Vào năm 2019, các nhà nghiên cứu an ninh mạng đã phát hiện ra một vấn đề đáng lo ngại: một ứng dụng Android hợp pháp trên Google Play Store đã bị xâm phạm bởi một thư viện của bên thứ ba được các nhà phát triển sử dụng để tạo doanh thu quảng cáo. Sự thay đổi này khiến 100 triệu thiết bị được kết nối với các máy chủ do kẻ tấn công kiểm soát, sau đó triển khai các tải trọng ẩn.

Một tình huống tương tự hiện đã tái diễn. Các chuyên gia an ninh thông tin đã xác định được hai ứng dụng mới, được tải xuống 11 triệu lần từ Google Play, bị nhiễm cùng một họ phần mềm độc hại. Có vẻ như một bộ công cụ phát triển phần mềm không an toàn được sử dụng để tích hợp các tính năng quảng cáo một lần nữa phải chịu trách nhiệm.

SDK là gì?

Bộ công cụ phát triển phần mềm, hay SDK, cung cấp cho các nhà phát triển các khuôn khổ được xây dựng sẵn giúp đơn giản hóa và đẩy nhanh quá trình tạo ứng dụng bằng cách xử lý các tác vụ thường lệ. Trong trường hợp này, một mô-đun SDK chưa được xác minh, dường như được thiết kế để hỗ trợ hiển thị quảng cáo, đã được tích hợp vào các ứng dụng. Tuy nhiên, bên dưới bề mặt, nó cho phép các phương pháp tiên tiến để giao tiếp bí mật với các máy chủ bị xâm phạm. Điều này cho phép các ứng dụng tải lên dữ liệu người dùng và tải xuống mã độc hại, có thể được thực thi hoặc cập nhật bất kỳ lúc nào.

Trojan Necro lây nhiễm vào thiết bị như thế nào?

Họ phần mềm độc hại đứng sau cả hai chiến dịch được gọi là Necro, và trong trường hợp này, một số biến thể sử dụng các kỹ thuật tiên tiến như thuật ẩn mã—một phương pháp che giấu hiếm gặp trong các mối đe dọa di động. Một số biến thể nhất định cũng sử dụng các phương pháp tinh vi để phân phối mã gian lận có khả năng hoạt động với các đặc quyền hệ thống nâng cao. Khi một thiết bị bị nhiễm, nó sẽ giao tiếp với máy chủ Command-and-Control do kẻ tấn công kiểm soát. Nó sẽ gửi dữ liệu JSON được mã hóa báo cáo thông tin chi tiết về thiết bị bị xâm phạm và ứng dụng lưu trữ mô-đun gian lận.

Sau đó, máy chủ phản hồi bằng một thông báo JSON bao gồm liên kết đến hình ảnh PNG và siêu dữ liệu chứa hàm băm của hình ảnh. Nếu mô-đun trên thiết bị bị nhiễm xác minh hàm băm, nó sẽ tiến hành tải xuống hình ảnh.

Các nhà nghiên cứu giải thích rằng mô-đun SDK sử dụng thuật toán ẩn mã đơn giản. Sau khi vượt qua kiểm tra MD5, nó trích xuất nội dung của tệp PNG, cụ thể là các giá trị pixel từ các kênh ARGB, bằng các công cụ Android chuẩn. Phương pháp getPixel truy xuất giá trị mà byte ít quan trọng nhất chứa kênh màu xanh của hình ảnh và phần mềm độc hại bắt đầu xử lý từ đó.

Trojan Necro có thể dẫn đến hậu quả nghiêm trọng

Các tải trọng tiếp theo được cài đặt bởi phần mềm độc hại tải xuống các plugin gian lận có thể được tùy chỉnh cho từng thiết bị bị nhiễm để thực hiện nhiều hành động khác nhau. Một plugin như vậy cho phép mã thực thi với các đặc quyền hệ thống được nâng cao. Thông thường, Android hạn chế các quy trình có đặc quyền sử dụng WebView—một thành phần để hiển thị các trang web trong các ứng dụng. Để khắc phục hạn chế này, Necro sử dụng một kỹ thuật được gọi là tấn công phản chiếu để tạo ra một sự kiện riêng biệt của nhà máy WebView.

Ngoài ra, plugin này có thể tải xuống và thực thi các tệp khác sửa đổi các liên kết được hiển thị thông qua WebView. Với các quyền hệ thống được nâng cao, các tệp thực thi này có thể thay đổi URL để chèn mã xác nhận cho các đăng ký trả phí và tải xuống và chạy mã từ các liên kết do kẻ tấn công kiểm soát. Các nhà nghiên cứu đã xác định được năm tải trọng riêng biệt trong quá trình phân tích Necro của họ. Ngoài ra, cấu trúc mô-đun của Necro cung cấp nhiều cách để phần mềm độc hại hoạt động.

Trojan Necro được tìm thấy trong hai ứng dụng

Các nhà nghiên cứu đã xác định Necro trong hai ứng dụng trên Google Play. Một trong số đó, Wuta Camera, đã đạt được 10 triệu lượt tải xuống. Các phiên bản 6.3.2.148 đến 6.3.6.148 của Wuta Camera chứa SDK độc hại chịu trách nhiệm cho các vụ lây nhiễm, nhưng ứng dụng đã được cập nhật để loại bỏ thành phần gây hại. Một ứng dụng khác, Max Browser, với khoảng 1 triệu lượt tải xuống, cũng đã bị xâm phạm; tuy nhiên, ứng dụng này hiện không còn khả dụng trên Google Play.

Ngoài ra, các nhà nghiên cứu phát hiện Necro lây nhiễm một loạt các ứng dụng Android được cung cấp trên các thị trường thay thế. Các ứng dụng này thường được trình bày dưới dạng các phiên bản đã sửa đổi của các ứng dụng hợp pháp, bao gồm Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer và Melon Sandbox.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Lừa đảo, Thư rác
37,676
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...

Cửa sổ bật lên 'Nếu bạn đủ 18 tuổi, hãy nhấn vào Cho...

Tin nhắn cảnh báo giả mạo
29,043
Cửa sổ bật lên 'Nếu bạn đủ 18 tuổi, hãy nhấn vào Cho phép' là một loại quảng cáo bật lên xuất hiện trên màn hình của người dùng khi duyệt internet. Những cửa sổ bật lên này có thể khá đáng báo động đối với người dùng khi chúng thúc giục họ nhấp vào nút "cho phép" để tiếp tục sử dụng trang web mà họ hiện đang truy cập. Các cửa sổ bật lên này được liên kết với các chương trình không mong...
Đang tải...