3 ứng dụng trên Google Play Store cho phép bí mật root điện thoại Android

0
7

Nếu bạn đã cài đặt bất kỳ trình quản lý tệp tin và ứng dụng chụp ảnh nào được đề cập dưới đây trên điện thoại Android của bạn, ngay cả khi được tải xuống từ cửa hàng Google Store chính thống, thì bạn đã bị hack và bị theo dõi.

Các ứng dụng Android độc hại mới được phát hiện này là Camero, FileCrypt và callCam, được cho là có liên quan đến Sidewinder APT, một nhóm hacker chuyên tấn công gián điệp mạng.

Theo các nhà nghiên cứu tại Trend Micro, các ứng dụng này đã khai thác lỗ hổng nghiêm trọng use-after-free trong Android ít nhất là từ tháng 3 năm ngoái – 7 tháng trước khi lỗ hổng được phát hiện lần đầu tiên bởi Google.

Lỗ hổng, CVE-2019-2215, là vấn đề leo thang đặc quyền cục bộ cho phép toàn quyền root thiết bị bị ảnh hưởng và cũng có thể bị khai thác từ xa khi kết hợp với lỗ hổng kết xuất trình duyệt riêng.

Bí mật root điện thoại Android

Theo Trend Micro, FileCrypt Manager và Camero đóng vai trò là như một dropper (trình cài đặt) và kết nối với một máy chủ chỉ huy và điều khiển từ xa để tải xuống tệp DEX, sau đó tải xuống ứng dụng callCam và cố gắng cài đặt bằng cách khai thác các lỗ hổng leo thang đặc quyền hoặc lạm dụng tính năng truy cập. Tất cả đều được thực hiện mà không có sự nhận biết hoặc can thiệp của người dùng.

Sau khi cài đặt, callCam ẩn khỏi menu, thu thập các thông tin sau từ thiết bị bị xâm nhập và gửi lại cho máy chủ C&C của kẻ tấn công:

  • Vị trí
  • Trạng thái pin
  • Tập tin trên thiết bị
  • Danh sách ứng dụng đã cài đặt
  • Thông tin thiết bị
  • Thông tin cảm biến
  • Thông tin camera
  • Ảnh chụp màn hình
  • Tài khoản
  • Thông tin WiFi

Dữ liệu từ WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail và Chrome.

Bên cạnh CVE-2019-2215, các ứng dụng độc hại cũng cố gắng khai thác một lỗ hổng trong trình điều khiển MediaTek-SU để có được quyền root và tồn tại dai dẳng trên một loạt các thiết bị cầm tay Android.

Dựa trên sự chồng chéo về vị trí của các máy chủ C&C, các nhà nghiên cứu đã gán chiến dịch này cho SideWinder, được cho là một nhóm gián điệp Ấn Độ nhắm vào các tổ chức có liên kết với Quân đội Pakistan.

Cách bảo vệ điện thoại Android khỏi phần mềm độc hại

Google hiện đã xóa tất cả các ứng dụng độc hại nêu trên khỏi Play Store, nhưng vì các hệ thống của Google không đủ để ngăn chặn các ứng dụng xấu ra khỏi cửa hàng chính thức, bạn phải rất cẩn thận trong việc tải xuống ứng dụng.
Để kiểm tra xem thiết bị của bạn có bị nhiễm phần mềm độc hại này hay không, hãy truy cập cài đặt hệ thống Android → Trình quản lý ứng dụng, tìm tên các ứng dụng được liệt kê ở trên và gỡ cài đặt.

Để bảo vệ thiết bị của bạn trước hầu hết các mối đe dọa trên mạng, bạn nên thực hiện các biện pháp phòng ngừa đơn giản nhưng hiệu quả như:

  • Luôn cập nhật thiết bị và ứng dụng,
  • Tránh tải xuống ứng dụng từ nguồn không quen thuộc,
  • Luôn chú ý đến quyền mà ứng dụng yêu cầu,
  • Thường xuyên sao lưu dữ liệu và
  • Cài đặt một phần mềm diệt virus tốt giúp bảo vệ chống lại phần mềm độc hại.

Để không trở thành mục tiêu của các ứng dụng như vậy, hãy luôn cẩn thận với các ứng dụng khả nghi, ngay cả khi tải xuống từ Google Play Store và chỉ cố gắng tải ứng dụng từ các thương hiệu tin cậy. Ngoài ra, luôn xem các đánh giá ứng dụng của những người dùng khác và xác minh quyền của ứng dụng trước khi cài đặt, chỉ cấp các quyền có liên quan đến mục đích của ứng dụng.

Theo The Hacker News