Theo Kapersky, mã độc được đặt tên là PhantomLance, chiến dịch đã hoạt động từ năm 2015 đến nay với nhiều phiên bản phần mềm gián điệp tinh vi - là những phần mềm dùng để thu thập dữ liệu của nạn nhân, cùng các chiến thuật phát tán thông minh - như qua hàng chục ứng dụng trên cửa hàng Google Play chính thức.
|
| Việt Nam thuộc top quốc gia bị mã độc tấn công qua điện thoại Android. Ảnh minh họa. |
Vào tháng 7/2019, một nhóm các nhà nghiên cứu bảo mật đã báo cáo về mẫu phần mềm gián điệp mới được tìm thấy trên Google Play.Báo cáo đã thu hút sự chú ý của Kaspersky bởi các đặc điểm khác lạ của phần mềm này, với mức độ tinh vi và hoạt động rất khác so với những Trojans thường được tải lên các cửa hàng ứng dụng chính thức.
Thông thường nếu người tạo tìm cách tải ứng dụng độc lại lên cửa hàng ứng dụng chính thức, họ sẽ đầu tư nguồn lực đáng kể để quảng bá ứng dụng nhằm tăng số lượng cài đặt và nạn nhân bị tấn công.
Nhưng đối với các ứng dụng độc hại mới được phát hiện này lại không như vậy. Dường như các hacker đứng sau mã độc không quan tâm đến việc phát tán hàng loạt.
Phần mềm gián điệp trên Google Play được ngụy trang dưới dạng ứng dụng dọn dẹp trình duyệtTheo các nhà nghiên cứu, đây có thể là dấu hiệu của hoạt động tấn công có chủ đích APT. Nghiên cứu bổ sung phát hiện một số phiên bản khác nhau với nhiều mẫu phần mềm độc hại có điểm tương đồng về cách mã hóa. Chức năng của tất cả các mẫu phần mềm độc hại đều là thu thập thông tin của nạn nhân. Mặc dù mục đích của mã độc này về cơ bản không rộng lắm, bao gồm định vị địa lý, nhật ký cuộc gọi, truy cập thông tin liên lạc và SMS, ứng dụng cũng có thể thu thập danh sách các ứng dụng đã cài đặt, thông tin về thiết bị, như kiểu máy và phiên bản hệ điều hành.
Hơn nữa, các tin tặc có thể tải xuống và thực thi các tấn công khác nhau, từ đó điều chỉnh cho phù hợp với từng thiết bị tùy vào phiên bản Android và các ứng dụng đã cài đặt. Bằng cách này, tin tặc có thể tránh làm quá tải ứng dụng nhưng vẫn có thể thu thập được những thông tin cần thiết.
Nghiên cứu sâu hơn chỉ ra rằng PhantomLance được phát tán trên nhiều nền tảng và thị trường khác nhau, trong đó có Google Play và APKpure.
Theo Kaspersky Security Network, kể từ năm 2016, khoảng 300 nỗ lực lây nhiễm đã được thực hiện trên các thiết bị Android ở những quốc gia như Ấn Độ, Việt Nam, Bangladesh và Indonesia.
Việt Nam là một trong những quốc gia có số vụ tấn công hàng đầu. Ngoài ra, một số ứng dụng chứa mã độc được sử dụng trong chiến dịch cũng được đặt tên bằng tiếng Việt.
Chính vì điều này, Cục An toàn thông tin, Bộ TT&TT cho biết trong thời gian gần đây, lợi dụng tình hình dịch bệnh Covid-19, nhiều nhóm mã độc tấn công có chủ đích (APT) đang tích cực hoạt động để thực hiện tấn công vào hệ thống thông tin của nhiều quốc gia trên thế giới, trong đó có Việt Nam.Theo đánh giá của Cục An toàn thông tin, các nhóm APT này vẫn bắt đầu cuộc tấn công bằng thủ đoạn đính kèm mã khai thác điểm yếu, lỗ hổng vào các tập tin tài liệu và phát tán tập tin này qua thư điện tử.
Tuy nhiên tài liệu lợi dụng để phát tán mã độc thường ở mỗi thời điểm được lựa chọn kỹ lưỡng, thường là tài liệu được được nhiều người quan tâm hoặc người dùng mục tiêu quan tâm: văn bản, tài liệu của các cơ quan tổ chức, gần đây là các tài liệu liên quan đến phòng chống dịch bệnh Covid-19.
Do đó, Cục An toàn thông tin đề nghị các đơn vị, tổ chức kiểm tra, rà soát và khắc phục các lỗ hổng bảo mật trên tất cả các hệ thống để tránh bị phát tán mã độc.
Đồng thời, cập nhật dấu hiệu cho các giải pháp bảo mật để giám sát, phát hiện và ngăn chặn sớm các nguy cơ tấn công mạng nguy hiểm, tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị tấn công liên quan đến các nhóm APT.
