Banner top Trường Thịnh

1800 6025(0đ//Phút)

tìm cửa hàng

Kaspersky cáo buộc nhóm hacker APT32 sử dụng Google Play Store để lây lan phần mềm gián điệp trong nhiều năm

Website truongthinh.info có bài Kaspersky cáo buộc nhóm hacker APT32 sử dụng Google Play Store để lây lan phần mềm gián điệp trong nhiều nămCác nhà nghiên cứu bảo mật của Kaspersky đã tìm ra một một chiến dịch tấn công độc hại có tên PhantomLance nhắm mục tiêu người dùng thiết bị Android.

Mới đây, các nhà nghiên cứu bảo mật của Kaspersky đã tìm ra một chiến dịch tấn công độc hại mang tên PhantomLance nhắm mục đích người dùng thiết bị Android, sở hữu payload độc hại dưới dạng phần mềm gián điệp nhúng trong số phần mềm được phân phối qua nhiều nền tảng khác nhau, bao gồm Google Play Store và các cửa hàng ứng dụng Android thay thế như APKpure và APKCombo.

Đặc biệt theo kết luận của Kaspersky, PhantomLance có nhiều đặc tính giống nhau với các chiến dịch tiến công độc hại đã trở nên phát giác trước đấy nhắm vào Windows và macOS do OceanLotus (hay còn được đến với tên gọi APT32, để biết thêm về nhóm hacker này bạn cũng đều có thể tìm đọc trên Wikipedia) đứng sau vận hành. Do vậy, không phải không có cơ sở khi Kaspersky tin rằng OceanLotus cũng chính là tổ chức đứng sau chiến dịch PhantomLance.

“Chiến dịch này đã hoạt động từ tối thiểu 2015 và vẫn đang tiếp diễn, cho dù là nhiều phiên bản ứng dụng gián điệp phức tạp, được chế tạo để thu thập dữ liệu của nạn nhân. Cùng với đó là 1 chiến thuật phân phối thông minh, qua hàng chục ứng dụng trên Google Play và các nền tảng download phần mềm Android khác” , hàng ngũ Kaspersky cho biết.

Tập trung vào thu thập và đánh cắp thông tin

Sở dĩ Kaspersky cũng có thể có thể phát giác ra chiến dịch PhantomLance là nhờ báo cáo của Doctor Web về 1 backdoor trojan mới mà người ta tìm thấy trên Play Store, được thiết kể tương đối phức tạp nhằm mục tiêu đánh cắp thông tin đăng nhập và tài chính của người dùng Android chủ đạo ở khu vực Đông Nam Á, không loại trừ cả Việt Nam. Những dữ liệu này kể cả vị trí địa lý, nhật ký cuộc gọi, danh bạ, lời nhắn văn bản, danh sách các ứng dụng đã cài đặt và thông tin thiết bị của nạn nhân.

Các quốc gia PhantomLance nhắm đến

Các quốc gia PhantomLance nhắm đến

Không chỉ vậy, hacker còn có thể tải xuống và thực thi các payload độc hại khác nhau. Do đó, chúng có thể điều chỉnh payload thích phù hợp với môi trường cụ thể trên thiết bị, chẳng hạn như phiên bản Android và các ứng dụng đã cài đặt. “Bằng cách này, chúng cũng có thể hạn chế việc ứng dụng độc hại bị quá tải bởi các tính năng chẳng cần thiết, đồng thời thu thập được chính xác dữ liệu mong muốn”.

Phân phối qua nhiều nền tảng download phần mềm Android

Kaspersky đã phát hành 1 bản kê phần mềm Android có chứa các mẫu ứng dụng độc hại PhantomLance và sau đó bị Google xóa sổ Play Store vào tháng 11 năm 2019. Cụ thể như sau:

Danh sách các ứng dụng Android chứa mã độc

Không chỉ có Play Store, PhantomLance còn được phân phối trên 1 loạt nền tảng download phần mềm Android lớn khác, có thể kể tới như https://apkcombo[.]com, https://apk[.]support/, https://apkpure[.]com, https://apkpourandroid[.]com, và một số nền tảng khác.

Để tránh việc bị những nền tảng này phát giác và ngăn chặn, trước tiên hacker sẽ upload những phiên bản phần mềm sạch mà không chứa đựng bất cứ payload độc hại nào. Tuy nhiên ở các bản cập nhật sau đó của ứng dụng, payload độc hại sẽ có đính kèm và gửi về thiết bị của nạn nhân.

“PhantomLance đã xảy ra được hơn 5 năm và các tác nhân đe dọa đã rất thành đạt trong việc tìm cách băng qua các bộ lọc bảo mật tiên tiến của cửa hàng phần mềm nhiều đợt bằng những kỹ thuật tiên tiến”.

Hiện tại, APT32 và chiến dịch PhantomLance vẫn đang được Kaspersky theo dõi sát sao.

Từ khóa bài viết: truongthinh.info, APT32, APT32 là gì, nhóm hacker APT32, PhantomLance, chiến dịch PhantomLance, tấn công mạng, phần mềm dán điệp, OceanLotus

Bài viết Kaspersky cáo buộc nhóm hacker APT32 sử dụng Google Play Store để lây lan phần mềm gián điệp trong nhiều năm được tổng hợp và biên tập bởi: truongthinh.info. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho truongthinh.info để điều chỉnh. truongthinh.info xin cảm ơn.