Cảnh báo! Phần mềm “System Updates” của Android có thể chứa một Spyware rất nguy hiểm.



Các nhà nghiên cứu đã phát hiện ra một loại Trojan chuyên đánh cắp thông tin mới, nhắm vào các thiết bị Android với khả năng truy quét dữ liệu nhanh chóng – từ việc thu thập các tìm kiếm trên trình duyệt đến cả ghi âm các cuộc gọi điện thoại và âm thanh.

Mặc dù Malware trước đây trên Android đã đội lốt là các ứng dụng bắt chước, có tên tương tự  y như các phần mềm thật, malware  tinh vi này đội lốt với cái tên “System Update”  nhằm để kiểm soát các thiết bị bị xâm phạm.

Các nhà nghiên cứu của Zimperium cho biết: “ Spyware tạo ra một thông báo, nếu màn hình của thiết bị tắt, khi mà nó nhận được lệnh Firebase messaging service,” các nhà nghiên cứu của Zimperium cho biết trong một phân tích hôm thứ Sáu. “Searching for update…”không phải là một thông báo hợp pháp từ hệ điều hành, mà là Spyware.”

Một khi được cài đặt, Spyware tinh vi này thiết lập ra nhiệm vụ cho nó bằng cách đăng ký thiết bị với Firebase command-and-control (C2) server kèm với thông tin như tỷ lệ phần trăm pin, số liệu thống kê về bộ nhớ và liệu rằng điện thoại đã được cài đặt WhatsApp hay chưa, tiếp theo là tích lũy và xuất bất kỳ dữ liệu nào mà máy chủ quan tâm dưới dạng tệp ZIP được mã hóa.

Spyware này có vô vàng tính năng, và chủ yếu tập trung vào khả năng ẩn nấu và hoạt động mà các nạn nhân không hề hay biết, bao gồm các chiến thuật đánh cắp danh bạ, dấu trang của trình duyệt web và lịch sử tìm kiếm, lấy cắp tin nhắn bằng cách lạm dụng các dịch vụ trợ năng, ghi âm, cuộc gọi điện thoại và chụp ảnh bằng camera của điện thoại. Nó cũng có thể theo dõi vị trí của nạn nhân, tìm kiếm các tệp có phần mở rộng cụ thể và lấy dữ liệu từ khay nhớ tạm của thiết bị.

Các nhà nghiên cứu cho biết: “Chức năng và khả năng lọc dữ liệu của phần mềm gián điệp được kích hoạt trong nhiều điều kiện, chẳng hạn như thêm liên hệ mới, nhận tin nhắn SMS mới hoặc một ứng dụng mới được cài đặt bằng cách sử dụng bộ thu contentObserver và Broadcast của Android”.

Hơn nữa, Malware không chỉ sắp xếp dữ liệu đã thu thập thành một số thư mục bên trong bộ nhớ riêng của nó, nó còn xóa sạch mọi dấu vết của hoạt động độc hại bằng cách xóa các tệp ZIP ngay khi nhận được thông báo ” success ” từ  C2 Server Post Exfiltration. Trong một nỗ lực hơn nữa để tránh bị phát hiện, Spyware cũng giảm mức tiêu thụ băng thông của nó bằng cách tải lên các hình thu nhỏ trái ngược với hình ảnh và video thực tế có trong bộ nhớ ngoài.

Mặc dù ứng dụng “System Update” chưa bao giờ được phân phối chính thức thông qua Cửa hàng Google Play, nhưng nghiên cứu một lần nữa nhấn mạnh cách các cửa hàng ứng dụng của bên thứ ba có thể chứa malware nguy hiểm. Danh tính của các những kẻ tạo ra, các nạn nhân bị nhắm tới và động cơ cuối cùng đằng sau vụ việc này vẫn chưa rõ ràng.

nguồn : thehackernews



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật