-
09/04/2020
-
128
-
1.762 bài viết
Hơn 2,3 triệu thiết bị Android nhiễm mã độc “NoVoice” từ Google Play
Một chiến dịch phát tán mã độc Android có tên NoVoice vừa bị phát hiện trên Google Play, ảnh hưởng tới hơn 2,3 triệu lượt tải từ hơn 50 ứng dụng khác nhau. Đáng sợ là các ứng dụng này vẫn hoạt động bình thường (dọn rác, xem ảnh, game…) và không yêu cầu quyền truy cập bất thường, khiến người dùng khó nghi ngờ.
Theo các báo cáo, NoVoice được thiết kế tinh vi, ẩn mã độc trong các thành phần giả mạo thư viện hợp lệ. Payload độc hại được giấu trong file ảnh bằng kỹ thuật “giấu tin” (steganography), sau đó giải nén và chạy trực tiếp trong bộ nhớ để tránh bị phát hiện.
Theo các báo cáo, NoVoice được thiết kế tinh vi, ẩn mã độc trong các thành phần giả mạo thư viện hợp lệ. Payload độc hại được giấu trong file ảnh bằng kỹ thuật “giấu tin” (steganography), sau đó giải nén và chạy trực tiếp trong bộ nhớ để tránh bị phát hiện.
Cơ chế chiếm quyền và đánh cắp dữ liệu
Sau khi được kích hoạt, NoVoice âm thầm thiết lập kết nối tới máy chủ điều khiển từ xa (C2) để thu thập thông tin chi tiết về thiết bị như phiên bản Android, bản vá bảo mật hay cấu hình phần cứng. Dựa trên dữ liệu này, mã độc sẽ tự động lựa chọn lỗ hổng phù hợp, chủ yếu là các lỗi Android cũ đã được vá trong giai đoạn 2016 - 2021, nhằm khai thác và từng bước leo thang đặc quyền.
Khi đã chiếm được quyền cao nhất (root), NoVoice gần như kiểm soát hoàn toàn hệ thống. Nó có thể vô hiệu hóa các cơ chế bảo vệ cốt lõi, can thiệp vào thư viện hệ thống để chèn mã độc và thiết lập cơ chế tồn tại dai dẳng. Ngay cả khi người dùng khôi phục cài đặt gốc, mã độc vẫn có khả năng quay trở lại nhờ các thành phần đã được cài sâu trong phân vùng hệ thống.
Khi đã chiếm được quyền cao nhất (root), NoVoice gần như kiểm soát hoàn toàn hệ thống. Nó có thể vô hiệu hóa các cơ chế bảo vệ cốt lõi, can thiệp vào thư viện hệ thống để chèn mã độc và thiết lập cơ chế tồn tại dai dẳng. Ngay cả khi người dùng khôi phục cài đặt gốc, mã độc vẫn có khả năng quay trở lại nhờ các thành phần đã được cài sâu trong phân vùng hệ thống.
Ứng dụng trên Google Play chứa mã độc NoVoice
Nguồn: McAfee
Ngoài ra, NoVoice còn tích hợp cơ chế “tự giám sát”, liên tục kiểm tra trạng thái hoạt động và tự động khôi phục nếu bị phát hiện hoặc gỡ bỏ, thậm chí có thể ép thiết bị khởi động lại để tái kích hoạt.
Các bước kiểm tra xác thực được thực hiện trên thiết bị bị nhiễm virus
Nguồn: McAfee
Ở giai đoạn khai thác sâu, mục tiêu chính của NoVoice là dữ liệu từ ứng dụng WhatsApp. Mã độc tiến hành trích xuất các thành phần quan trọng như khóa mã hóa, cơ sở dữ liệu tin nhắn, thông tin tài khoản, số điện thoại và dữ liệu sao lưu. Với những dữ liệu này, kẻ tấn công có thể tái tạo phiên đăng nhập của nạn nhân trên một thiết bị khác, từ đó truy cập toàn bộ nội dung trao đổi.
Chuỗi xâm nhập của mã độc Android - NoVoice
Nguồn: McAfee
Google đã gỡ các ứng dụng nhiễm mã độc, nhưng nếu đã cài đặt trước đó, thiết bị có thể rơi vào nguy cơ bị xâm nhập. Người dùng ngay lập tức cần:
- Cập nhật Android lên bản vá mới nhất
- Tránh cài ứng dụng từ nhà phát triển không uy tín
- Cân nhắc thay thiết bị nếu đang dùng phiên bản Android lỗi thời và không còn được hỗ trợ
Theo Bleeping Computer
Chỉnh sửa lần cuối: