Một nhóm các nhà nghiên cứu hôm nay đã tiết lộ các khả năng chưa từng được tiết lộ trước đây của phần mềm cấy ghép phần mềm gián điệp Android — được phát triển bởi một kẻ đe dọa Iran bị trừng phạt — có thể cho phép những kẻ tấn công theo dõi các cuộc trò chuyện riêng tư từ các ứng dụng nhắn tin tức thời phổ biến, buộc kết nối Wi-Fi và tự động trả lời cuộc gọi từ một số số cho mục đích nghe trộm các cuộc trò chuyện.
Trong Tháng Chín, Bộ Tài chính Hoa Kỳ đã áp đặt các biện pháp trừng phạt đối với APT39 (hay còn gọi là Chafer, ITG07, hoặc Remix Kitten) – một kẻ đe dọa Iran được Bộ Tình báo và An ninh của nước này (MOIS) hậu thuẫn – vì đã thực hiện các chiến dịch phần mềm độc hại nhắm vào những nhà bất đồng chính kiến, nhà báo Iran, và các công ty quốc tế trong lĩnh vực viễn thông và du lịch.
Cùng với các lệnh trừng phạt, Cục Điều tra Liên bang (FBI) đã phát hành một phân tích mối đe dọa công khai báo cáo mô tả một số công cụ được sử dụng bởi Công ty Máy tính Trí tuệ Rana, công ty hoạt động như bình phong cho các hoạt động mạng độc hại do nhóm APT39 thực hiện.
Chính thức liên kết các hoạt động của APT39 với Rana, FBI đã trình bày chi tiết tám bộ phần mềm độc hại chưa được tiết lộ trước đây được nhóm này sử dụng để tiến hành các hoạt động do thám và xâm nhập máy tính của họ, bao gồm một ứng dụng phần mềm gián điệp Android có tên “Optimizer.apk” với chức năng đánh cắp thông tin và khả năng truy cập từ xa.
Cơ quan này tuyên bố: “Việc cấy ghép APK có chức năng đánh cắp thông tin và truy cập từ xa, giúp người dùng có quyền truy cập root trên thiết bị Android mà người dùng không hề hay biết”.
“Các khả năng chính bao gồm truy xuất các yêu cầu HTTP GET từ máy chủ C2, lấy dữ liệu thiết bị, nén và mã hóa AES dữ liệu đã thu thập và gửi nó qua các yêu cầu HTTP POST tới máy chủ C2 độc hại.”
ReversingLabs, trong một được phát hành báo cáo hôm nay, tìm hiểu sâu hơn về bộ phận cấy ghép này (“com.android.providers.optimizer”) bằng cách sử dụng phiên bản phần mềm độc hại chưa được giải mã trước đó được mô tả trong báo cáo FBI Flash.
Theo nhà nghiên cứu Karlo Zanki, thiết bị cấy ghép không chỉ có quyền ghi âm thanh và chụp ảnh cho mục đích giám sát của chính phủ mà còn có tính năng thêm điểm truy cập Wi-Fi tùy chỉnh và buộc thiết bị bị xâm phạm phải kết nối với nó.
“Tính năng này có thể được giới thiệu để tránh bị phát hiện do việc sử dụng lưu lượng dữ liệu bất thường trên tài khoản di động của mục tiêu”, Zanki cho biết trong một phân tích.
Cũng cần lưu ý là khả năng tự động trả lời cuộc gọi từ các số điện thoại cụ thể, do đó cho phép kẻ đe dọa khai thác các cuộc trò chuyện theo yêu cầu.
Bên cạnh tính năng hỗ trợ nhận lệnh được gửi qua tin nhắn SMS, biến thể mới nhất của phần mềm độc hại “trình tối ưu hóa” được FBI tham chiếu đã lạm dụng các dịch vụ trợ năng để truy cập nội dung của các ứng dụng nhắn tin tức thì như WhatsApp, Instagram, Telegram, Viber, Skype và một Iran không chính thức- ứng dụng khách dựa trên Telegram có tên là Talaeii.
Cần lưu ý rằng Telegram trước đó đã đưa ra cảnh báo “không an toàn” cho người dùng Talaeii và Hotgram vào tháng 12 năm 2018 sau tiết lộ từ Trung tâm Nhân quyền ở Iran (CHRI) trích dẫn các lo ngại về bảo mật.
Zanki kết luận: “Khi nhắm mục tiêu vào các cá nhân, các tác nhân đe dọa thường muốn theo dõi giao tiếp và chuyển động của họ. “Điện thoại di động phù hợp nhất cho những mục tiêu như vậy vì sức mạnh tính toán có trong túi của bạn và thực tế là hầu hết mọi người đều mang theo chúng mọi lúc.”
“Vì nền tảng Android duy trì phần lớn nhất trong thị phần điện thoại thông minh toàn cầu, nên nó cũng là mục tiêu chính của phần mềm độc hại di động.”
