Phát hiện mã độc mới trên Android với khả năng gián điệp khủng khiếp chưa từng thấy

Skygofree là một trong những nền tảng gián điệp mạnh mẽ nhất từng được tạo ra trên Android.

Năm ngoái, các nhà nghiên cứu đã phát hiện ra một thứ mà vào thời điểm đó có thể được coi là ứng dụng gián điệp tinh vi nhất mà thế giới từng được biết đến cho hệ điều hành Android. Cho đến hôm nay, các nhà nghiên cứu lại tìm ra được một nền tảng gián điệp trên Android mới, bao gồm cả ứng dụng ghi âm dựa trên vị trí và các tính năng khác mà chưa từng được thấy trước đây.

Phát hiện mã độc mới trên Android với khả năng gián điệp khủng khiếp chưa từng thấy - Ảnh 1.

Theo một thông báo được hãng Kasspersky Lab công bố vào hôm thứ ba “Skygofree” có vẻ như là một sản phẩm an ninh được bán ra bởi một công ty IT có trụ sở ở Ý, chuyên bán các thiết bị giám sát khác nhau. Với 48 lệnh khác nhau trong phiên bản mới nhất, malware độc này đã trải qua nhiều quá trình phát triển liên tục kể từ khi nó được tạo ra từ cuối năm 2014. Malware độc này có 5 cách khai thác riêng biệt để lấy quyền truy cập root đặc quyền, cho phép nó vượt mặt các biện pháp bảo mật quan trọng của Android. Skygofree có khả năng chụp ảnh, chụp video và ghi âm cuộc gọi, tin nhắn văn bản, dữ liệu địa lý, sự kiện trên lịch, và các thông tin liên quan đến kinh doanh được lưu trữ trong bộ nhớ thiết bị.

Skygofree bao gồm cả khả năng tự động ghi lại cuộc trò chuyện và tiếng ồn khi một thiết bị bị lây nhiễm đi vào một địa điểm cụ thể được quyết định bởi kẻ điều hành malware. Một tính năng mà chưa từng được thấy trước đó nữa là khả năng ăn cắp tin nhắn WhatsApp bằng cách lạm dụng Dịch vụ trợ năng của Android, ứng dụng được thiết kế để giúp cho những người dùng bị khuyết tật hoặc những người tạm thời không thể tương tác hoàn toàn với các thiết bị. Tính năng mới thứ 3 của malware này là khả năng kết nối thiết bị bị lây nhiễm vào mạng Wi-fi bị kiểm soát bởi kẻ tấn công.

Skygofree cũng bao gồm các tính năng tiên tiến khác, bao gồm ứng dụng đảo ngược giúp cho bọn điều hành malware có khả năng điều khiển và kiểm soát thiết bị bị lây nhiễm tốt hơn. Phần mềm độc hại này cũng đi kèm với một loạt các tính năng khác như keylogger, thu lại những văn bản được gõ trên thiết bị, hay một cơ chế ghi âm lại các cuộc trò chuyện trên Skype.

Phần mềm độc hại mới được ghi nhận này được coi là ngang cơ với phần mềm Pegasus cho Android, một ứng dụng đồng hành của Pegasus cho iOS, được phát hiện vào tháng 8 năm 2016 là đã lây nhiễm cho chiếc iPhone của một nhà bất đồng chính kiến ở Ả Rập. Pegasus là một nền tảng gián điệp đầy đủ tính năng, được phát triển bởi tập đoàn NSO có trụ sở tại Israel. Pegasus ghi lại những văn bản được gõ trên iPhone, chụp màn hình, thu âm và video, điều khiển phần mềm độc hại từ xa thông qua tin nhắn SMS, và lấy cắp dữ liệu từ các ứng dụng thông thường như WhatsApp, Skype, Facebook, Twitter và Viber.

Phát hiện mã độc mới trên Android với khả năng gián điệp khủng khiếp chưa từng thấy - Ảnh 2.

Các nhà nghiên cứu của Kaspersky Lab cho biết: “Phần mềm Skygofree Android cấy ghép những công cụ spyware mạnh nhất mà chúng tôi từng thấy trên nền tảng này. Là sản phẩm của một quá trình nghiên cứu dài lâu, chúng có vô số khả năng đặc biệt.” Ba năm phát triển liên tục đã cho phép Skygofree có được những khả năng đặc biệt, đồng thời vẫn giữ được bí mật khi đang hoạt động.

Tuy nhiên điều này không có nghĩa là malware này là hoàn hảo. Các phiên bản được khám nghiệm bởi Kaspersky Lab chứa nhiều chi tiết có thể cung cấp manh mối quý giá về những kẻ đã phát triển và duy trì mã. Dấu vết để lại bao gồm tên miền h3g.co, được đăng ký bởi công ty công nghệ thông tin của Ý mang tên Negg International. Các nhân viên tại Negg vẫn chưa trả lời email yêu cầu bình luận về vấn đề này. Phần mềm độc hại này có thể là sản phẩm phát triển từ sau vụ hack năm 2015 của Hacking Team, một nhà phát triển phần mềm gián điệp tại Ý khác.

Các nhà nghiên cứu của Kaspersky Lab cho biết phần mềm độc hại này lây lan qua các trang landing page bắt chước các trang web của Vodafone và các nhà mạng di động khác. Các tên miền được sử dụng đã được đăng ký từ năm 2015, và chiến dịch này vẫn đang tiếp diễn. Kaspersky Lab cho biết dữ liệu tìm thấy cho thấy nhiều người ở Ý đã bị nhiễm malware này.

Skygofree như là một lời cảnh tỉnh, nhắc nhở chúng ta rằng việc cài đặt phần mềm gián điệp vẫn còn là một mối đe doạ đối với những người sử dụng thiết bị và hệ điều hành. Những người sử dụng mà nghĩ rằng họ dễ có thể trở thành mục tiêu thì nên luôn cảnh giác với những trang web mà họ truy cập và chỉ cài đặt phần mềm từ những app store chính thức, và chỉ sau khi đã nghiên cứu cẩn thận.

Theo Genk