Phần mềm gián điệp của Nga ẩn trong ứng dụng quản lý quy trình của Android

17:32, 05/04/2022

(XHTT) - Các nhà nghiên cứu bảo mật của Lab52 cho rằng, phần mềm gián điệp Android giả dạng một ứng dụng quản lý quy trình có thể liên kết đến nhóm hacker của Nga có tên là Turla.

Được chỉ định để chuyên tạo ra các mối đe dọa nâng cao (APT - Advanced Persistent Threat), các nhóm kiểu như Turla dưới sự bảo trợ của một tổ chức sẽ tiến hành khai thác phần mềm độc hại trong các mạng máy tính và sau đó ầm thầm gửi thông tin cho người tạo ra chúng trong một khoảng thời gian dài .

 

Ứng dụng trình quản lý quy trình đã gửi thông tin đến các địa chỉ IP liên quan đến hoạt động của Turla, mặc dù không thể chứng minh chắc chắn rằng chúng thuộc về nhóm này hoặc thông tin thu được sau đó được sử dụng cho các mục đích bất chính. Tuy nhiên, trong một số trường hợp khi cài đặt, ứng dụng nhận được một số quyền truy cập vào các tác vụ sau:

Access coarse location (truy cập vị trí)

Access fine location (truy cập vị trí tốt)

Access network state (Truy cập trạng thái mạng)

Access WiFi state (Truy cập trạng thái WiFi)

Camera

Foreground service (Dịch vụ tiền cảnh)

Internet

Modify audio settings (Sửa đổi cài đặt âm thanh)

Read call log (Đọc nhật ký cuộc gọi)

Read contacts (Đọc danh bạ)

Read external storage (Đọc bộ nhớ ngoài)

Write external storage (Ghi bộ nhớ ngoài)

Read phone state (Đọc trạng thái điện thoại)

Read SMS (Đọc tin nhắn)

Receive boot completed (Nhận khởi động hoàn thành)

Record audio (ghi âm)

Send SMS (Gửi tin nhắn)

Wake log (Nhật ký đánh thức)

Các tác  vụ trên khi bị xâm nhập trái phép thì đều là mối đe dọa nghiêm trọng đến quyền riêng tư của người dùng, nhất là chúng lại phục vụ cho mục đích xấu, đặc biệt là theo dõi vị trí, ghi âm giọng nói và sử dụng camera.

Mặt khác, ứng dụng quản lý quy trình này khá kín đáo, được đánh dấu bằng biểu tượng bánh răng cưa như thể một ứng dụng cài đặt và hệ thống sẽ biến mất khi tự động cấp các quyền nói trên.

Sau đó, ứng dụng sẽ khởi chạy một thông báo liên tục trên thanh trạng thái. Đây có thể là dấu hiệu cho biết điện thoại của người dùng đang bị theo dõi.

Mặc dù, có thể liên kết đến nhóm hacker, nhưng các nhà nghiên cứu Lab52 vẫn cho rằng, ứng dụng quản lý quy trình là mối đe dọa yếu khi thông báo về ứng dụng đang chạy hiển thị rõ ràng, cộng với ứng dụng là một phần của cơ sở hạ tầng kiếm tiền ẩn trong các mạng liên kết phổ biến như liên kết với ứng dụng Roz Dhan

Đó chưa phải là một hành vi xâm nhập ẩn danh điển hình nếu người dùng cài đặt một số chương trình liên kết, bạn vẫn có thể tìm ứng dụng quản lý quy trình và thu hồi quyền hoặc tốt hơn cả là hãy gỡ cài đặt tất cả chúng nếu bạn lo lắng về tính bảo mật của điện thoại.

 

Hoàng Thanh



.
1