Theo TechRadar, các nhà nghiên cứu bảo mật vừa đưa ra cảnh báo về một biến thể mới, cực kỳ tinh vi của phần mềm độc hại (malware) khét tiếng trên Android là Konfety. Biến thể này sử dụng một kỹ thuật xảo quyệt bằng cách cố tình "bóp méo" cấu trúc tệp tin cài đặt (APK) của chính nó để ẩn mình, khiến các công cụ bảo mật gần như không thể phân tích và phát hiện.
Phần mềm độc hại Android khét tiếng tái xuất đầy tinh vi
Theo báo cáo từ hãng bảo mật zLabs, những kẻ tấn công đằng sau Konfety đã tìm ra cách đánh lừa các chương trình phân tích bằng những phương pháp hết sức thông minh.
Android tiếp tục là mục tiêu của tin tặc qua phần mềm độc hại Konfety
ẢNH: CHỤP MÀN HÌNH BANKINFOSECURITY
Đầu tiên, chúng cố tình bật một "cờ hiệu" kỹ thuật số bên trong tệp tin cài đặt, báo rằng tệp đã được mã hóa trong khi thực tế thì không. Điều này khiến các công cụ bảo mật khi cố gắng đọc sẽ bị treo, báo lỗi hoặc hiểu sai về tệp, tạo ra một bức tranh lừa đảo hoàn hảo.
Chưa dừng lại, chúng tiếp tục khai báo rằng tệp được nén bằng một chuẩn nén không phổ biến. Kỹ thuật này một lần nữa khiến quá trình giải nén và phân tích của các phần mềm diệt virus gặp lỗi, không thể "nhìn thấy" bản chất độc hại bên trong. Các chuyên gia cho biết những thủ đoạn này làm cho việc dịch ngược mã nguồn để nghiên cứu trở nên phức tạp và khó khăn hơn bao giờ hết.
Bên cạnh việc can thiệp vào tệp APK, Konfety còn áp dụng nhiều chiến thuật khác để tồn tại và tấn công người dùng. Nổi bật là chiêu lừa đảo "ứng dụng kép", khi chúng đưa một phiên bản ứng dụng có vẻ hợp pháp lên các kho ứng dụng lớn, nhưng lại phát tán một phiên bản độc hại khác ở những nguồn bên ngoài.
Khi được cài đặt, ứng dụng độc hại này sẽ tự động ẩn biểu tượng, đồng thời sử dụng "hàng rào địa lý" (geofencing) để tránh bị các nhà nghiên cứu bảo mật ở một số khu vực nhất định phát hiện.
Một khi đã xâm nhập thành công, Konfety sẽ sử dụng một bộ công cụ quảng cáo (CaramelAds SDK) để liên tục chuyển hướng người dùng đến các trang web lừa đảo, tự động hiển thị các yêu cầu cài đặt ứng dụng Android không mong muốn, kích hoạt các thông báo rác liên tục trên trình duyệt.
Các nhà nghiên cứu kết luận: "Biến thể mới nhất này thể hiện sự tinh vi của tin tặc. Thủ đoạn này được thiết kế để vượt qua các khâu kiểm tra bảo mật, khiến việc phát hiện và phân tích trở nên khó khăn hơn đối với các chuyên gia".
