Cảnh báo quan trọng ảnh hưởng đến hàng triệu người dùng Android

Các chuyên gia an ninh mạng lên tiếng cảnh báo về biến thể mới của Konfety, một phần mềm phát tán mã độc khét tiếng trên điện thoại Android.

Theo Techradar, biến thể mới của Konfety sử dụng thủ thuật cực kỳ tinh vi, nó cố tình làm sai lệch cấu trúc tệp cài đặt (APK), giúp mã độc ẩn mình và dễ dàng qua mặt các phần mềm bảo mật.

Nhóm nghiên cứu tại zLabs phát hiện ra rằng các biến thể Konfety mới sử dụng kỹ thuật mã hóa và giả lập tinh vi để né tránh sự phát hiện của hệ thống bảo mật truyền thống, đồng thời gây khó khăn lớn cho các chuyên gia trong quá trình phân tích.

Trong mỗi tệp ZIP (định dạng nén làm nền tảng cho tệp APK trên Android) có một trường gọi là “Cờ Bit Mục đích Chung”, dùng để lưu trữ thông tin hướng dẫn hệ thống cách xử lý dữ liệu.

Những kẻ tấn công đã cố tình bật một "cờ hiệu" kỹ thuật số báo rằng tệp đã được mã hóa, trong khi thực tế không có bất kỳ tệp nào được mã hóa.

Thủ đoạn này khiến các công cụ giải nén và phân tích hiểu nhầm, dẫn đến lỗi xử lý, treo ứng dụng hoặc khiến phần mềm không thể hoạt động.

Không dừng lại ở đó, Konfety còn lợi dụng mã nhận dạng phương thức nén trong tệp ZIP để tiếp tục đánh lừa hệ thống.

Thông thường, các mã như 0x000 biểu thị tệp không nén, còn 0x000C là một dạng nén ít phổ biến. Kẻ tấn công đã khai báo rằng các tệp được nén theo chuẩn 0x000C, nhưng trên thực tế, chúng hoàn toàn không được nén.

Ngoài việc can thiệp vào tệp ZIP, Konfety còn áp dụng nhiều thủ đoạn tinh vi khác để tấn công người dùng Android, trong đó nổi bật là chiêu trò “ứng dụng kép”.

Cụ thể, kẻ tấn công phát hành một phiên bản ứng dụng hợp pháp trên các kho ứng dụng uy tín để tạo lòng tin. Song song đó, chúng phát tán một phiên bản khác chứa mã độc từ nguồn bên ngoài.

Khi người dùng cài đặt ứng dụng chứa mã nguồn độc hại, ứng dụng này sẽ ngay lập tức ẩn biểu tượng khỏi màn hình chính, khiến việc phát hiện và gỡ bỏ trở nên khó khăn hơn.

Ngoài ra, các ứng dụng độc hại còn giới hạn theo vùng địa lý để né tránh sự theo dõi từ các chuyên gia an ninh mạng.

Khi đã xâm nhập thành công, Konfety kích hoạt công cụ quảng cáo CaramelAds SDK để liên tục chuyển hướng người dùng đến các trang web lừa đảo, tự động hiển thị các yêu cầu cài đặt ứng dụng Android không mong muốn, kích hoạt các thông báo rác liên tục trên trình duyệt.

Các chuyên gia an ninh mạng cảnh báo: “Nhóm tội phạm mạng đứng sau Konfety sử dụng thủ đoạn cực kỳ tinh vi. Chúng liên tục thay đổi mạng lưới quảng cáo mục tiêu, đồng thời cập nhật chiêu thức mới nhằm qua mặt các hệ thống bảo mật”.

Biến thể mới nhất của Konfety cho thấy các mối đe dọa trên thiết bị di động, đặc biệt là Android, đang trở nên ngày càng tinh vi và khó lường.

Điều này cũng đặt ra thách thức với các giải pháp bảo mật truyền thống, buộc các chuyên gia an ninh mạng phải liên tục nâng cấp công nghệ và chiến lược phòng thủ.

Nguồn: Techradar, Cyber Security News