Konfety - Mã độc mới trên Android với chiến thuật lẩn tránh qua APK và mã động

[Kaya]

Gần đây, một phần mềm độc hại mới mang tên Konfety đã được các nhà nghiên cứu bảo mật phát hiện, thu hút sự chú ý của cộng đồng an ninh mạng. Đây là một biến thể tinh vi của mã độc trên Android, sử dụng các chiến thuật che giấu phức tạp để tránh bị phát hiện và ngăn chặn bởi các công cụ bảo mật thông thường.
Cách thức hoạt động của Konfety không chỉ đơn giản là quảng cáo gian lận mà còn có thể gây nguy hiểm lớn đối với người dùng và doanh nghiệp nếu không có biện pháp phòng ngừa kịp thời.

Chiến thuật tinh vi của Konfety​

Konfety hoạt động theo chiến thuật "evil twin", tức là sử dụng các ứng dụng giả mạo để lừa người dùng. Phần mềm độc hại này sẽ ngụy trang dưới dạng các ứng dụng hợp pháp trên Google Play, nhưng thực tế lại ẩn chứa mã độc nguy hiểm. Khi cài đặt, Konfety có thể thực hiện các hành động như:

• Chuyển hướng người dùng đến các trang web độc hại.
• Cài đặt các ứng dụng không mong muốn, gây phiền toái cho người dùng.
• Ẩn quảng cáo độc hại thông qua công cụ CaramelAds SDK.
• Thu thập dữ liệu cá nhân, bao gồm thông tin về ứng dụng đã cài, cấu hình hệ thống, vị trí địa lý.

Phương pháp lẩn tránh phát hiện​

Điểm đặc biệt của Konfety nằm ở chiến thuật lẩn tránh phân tích cực kỳ tinh vi. Để tránh bị phát hiện, Konfety sử dụng một số kỹ thuật phức tạp như:

1. Biến tấu định dạng APK: Konfety thay đổi cấu trúc tệp APK và sử dụng cờ "General Purpose Bit" để đánh lừa công cụ phân tích. Điều này khiến các công cụ như APKTool và JADX gặp khó khăn trong việc giải nén và phân tích mã độc.
2. Nén BZIP không chuẩn: Tệp APK của Konfety sử dụng định dạng nén không phổ biến, khiến các công cụ phân tích bị crash khi cố gắng giải mã.
3. Ẩn biểu tượng ứng dụng: Sau khi cài đặt, Konfety ẩn biểu tượng ứng dụng trên màn hình chính, giúp nó tránh được sự chú ý của người dùng và giảm khả năng bị gỡ bỏ.
4. Geofencing: Konfety có thể thay đổi hành vi tùy thuộc vào vị trí của người dùng, tránh phát hiện tại các quốc gia có hệ thống kiểm duyệt ứng dụng nghiêm ngặt.

Cách thức tấn công và phân phối​

Khác với các mã độc truyền thống, Konfety không xuất hiện trên Google Play Store mà thường được phát tán qua các kho ứng dụng bên thứ ba hoặc giả mạo các ứng dụng nổi tiếng như trình duyệt, máy dọn rác, VPN miễn phí… Người dùng có thể dễ dàng bị lừa tải về những ứng dụng này mà không hề hay biết về mã độc bên trong.

Nguy cơ và ảnh hưởng​

Mặc dù hiện tại Konfety chưa gây ra thiệt hại nghiêm trọng trên diện rộng, nhưng phần mềm này có thể mở đường cho các cuộc tấn công sâu hơn trong tương lai. Các nguy cơ tiềm ẩn từ Konfety bao gồm:

• Đánh cắp dữ liệu hệ thống: Bao gồm thông tin cá nhân và các thông tin nhạy cảm của người dùng.
• Ảnh hưởng đến doanh nghiệp: Nếu thiết bị nhiễm mã độc có quyền truy cập vào hệ thống nội bộ hoặc dữ liệu quan trọng, nó có thể gây thiệt hại lớn.
• Phát tán phần mềm gián điệp hoặc công cụ mã hóa dữ liệu: Konfety có thể được sử dụng làm nền tảng để tải xuống các phần mềm gián điệp hoặc công cụ mã hóa dữ liệu, từ đó đòi tiền chuộc.

Cách phòng tránh mã độc Konfety​

Để bảo vệ mình khỏi những mối nguy cơ như Konfety, theo các chuyên gia WhiteHat người dùng cá nhân và các doanh nghiệp cần thực hiện các biện pháp phòng tránh sau:

Dành cho người dùng cá nhân:​

• Không cài APK không rõ nguồn, chỉ cài đặt ứng dụng từ Google Play Store hoặc nguồn chính thống: Tránh tải ứng dụng từ các trang web không rõ nguồn gốc.
• Bật Play Protect và sử dụng AV di động để phát hiện APK biến dạng và malware runtime.
• Kiểm tra kỹ các quyền yêu cầu khi cài đặt ứng dụng: Đảm bảo ứng dụng không yêu cầu quyền truy cập không cần thiết.
• Cập nhật hệ điều hành và phần mềm bảo mật thường xuyên: Để bảo vệ thiết bị khỏi các mối đe dọa mới nhất.
• Chặn domain giả mạo Telegram dùng firewall/DNS, cảnh báo khi quét QR code.

Dành cho doanh nghiệp:​

• Giám sát thiết bị di động (MDM): Đảm bảo các thiết bị trong hệ thống doanh nghiệp không nhiễm mã độc.
• Áp dụng chính sách BYOD nghiêm ngặt: Đảm bảo rằng các nhân viên sử dụng thiết bị cá nhân trong công việc phải tuân thủ các quy định bảo mật.
• Huấn luyện nhận thức bảo mật cho người dùng cuối: Giúp nhân viên nhận biết các mối nguy cơ từ phần mềm độc hại.
• Tích hợp công nghệ EDR/MTD: Để phát hiện và phản ứng nhanh chóng với các mối đe dọa từ thiết bị đầu cuối.

Mã độc Konfety đã chứng minh rằng các phần mềm độc hại ngày nay ngày càng tinh vi và khó phát hiện. Việc bảo vệ thiết bị khỏi các mối đe dọa này đòi hỏi sự cảnh giác cao độ từ cả người dùng cá nhân và doanh nghiệp. Hãy luôn cẩn trọng khi cài đặt ứng dụng, đặc biệt là từ các nguồn không chính thống và duy trì các biện pháp bảo mật mạnh mẽ để bảo vệ thiết bị của mình khỏi các mối nguy hại tiềm tàng.

Theo WhiteHat​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview