Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Cảnh báo về MRAT lấy cắp dữ liệu, chiếm quyền thiết bị Android
Các nhà nghiên cứu đưa ra cảnh báo về trojan truy cập từ xa trên di động (MRAT) mới được phát hiện gần đây có thể kiểm soát các thiết bị Android và lấy cắp dữ liệu người dùng.
Trojan được đặt tên là Rogue, phát triển bởi Triangulum và HeXaGoN Dev, những kẻ từng được biết đến trước đây với vai trò người bán các sản phẩm độc hại trên chợ đen.
Triangulum lần đầu tiên chia sẻ một MRAT trên một diễn đàn web hồi tháng 6/2017. Trojan này không chỉ lấy cắp dữ liệu mà còn có thể phá hủy dữ liệu nội bộ, thậm chí xóa cả hệ điều hành.
Vài tháng sau đó, Triangulum bắt đầu bán phần mềm độc hại và thêm một mã độc khác vào kho “sản phẩm” của mình sau một năm. Kể từ đó, Triangulum có thể đã xây dựng một “dây chuyền sản xuất và phân phối phần mềm độc hại”, theo các chuyên gia.
Đối với sự phát triển của Rogue, tác giả phần mềm độc hại có thể đã hợp tác với HexaGoN Dev, người chuyên xây dựng các RAT trên Android. Trước đây, Triangulum mua các dự án từ NexaGoN Dev.
“Sự kết hợp giữa kỹ năng lập trình của HeXaGon Dev và kỹ năng tiếp thị xã hội của Triangulum rõ ràng là một mối nguy cơ”, các chuyên gia nhận định.
Sau khi xâm nhập thiết bị và có được các quyền cần thiết, Rogue RAT sẽ che giấu icon của nó để người dùng không phát hiện và xóa đi. Phần mềm độc hại liên tục yêu cầu các quyền cho đến khi được người dùng chấp nhận.
Rough cũng leo quyền quản trị viên thiết bị và đe dọa xóa tất cả dữ liệu nếu người dùng cố gắng thu hồi quyền quản trị của nó, bằng cách hiển thị thông báo sau trên màn hình: “Bạn có chắc chắn xóa tất cả dữ liệu không?”
Để che giấu hành vi, Rogue sử dụng nền tảng Firebase của Google, giả dạng là một dịch vụ hợp pháp của Google. Các dịch vụ Firebase đóng vai trò máy chủ C&C. Tất cả các lệnh và quá trình lọc dữ liệu đều được thực hiện bằng cơ sở hạ tầng của Firebase.
Trong số hàng chục dịch vụ do Google Firebase cung cấp cho các nhà phát triển ứng dụng, Rogue sử dụng “Cloud Messaging” để nhận lệnh, “Realtime Database” để tải lên dữ liệu và “Cloud Firestore” để tải tệp lên.
“Rogue là một ví dụ về cách các thiết bị di động có thể bị khai thác. Tương tự như Triangulum, nhiều kẻ xấu khác cũng đang xây dựng và bán phần mềm độc hại di động trên Web đen. Vì vậy chúng ta cần cảnh giác với các mối đe dọa mới”, các chuyên gia kết luận.
Theo Security Week