PhantomLance: Chiến dịch tấn công tinh vi trên thiết bị Android
Kaspersky đã phát hiện một chiến dịch tấn công tinh vi nhắm vào người dùng thiết bị Android, được cho là khá giống hoạt động của nhóm tin tặc OceanLotus.
PhantomLance - chiến dịch hoạt động từ năm 2015 đến nay với nhiều phiên bản phần mềm gián điệp tinh vi, là những phần mềm dùng để thu thập dữ liệu của nạn nhân, cùng các chiến thuật phát tán thông minh, như qua hàng chục ứng dụng trên cửa hàng Google Play.
Các tin tặc có thể tải xuống và thực thi các tấn công khác nhau, từ đó điều chỉnh cho phù hợp với từng thiết bị tùy vào phiên bản Android và các ứng dụng đã cài đặt. Bằng cách này, tin tặc có thể tránh làm quá tải ứng dụng nhưng vẫn có thể thu thập được những thông tin cần thiết. Kaspersky Security Network cho biết từ năm 2016, khoảng 300 nỗ lực lây nhiễm được thực hiện trên các thiết bị Android ở những quốc gia như Ấn Độ, Việt Nam, Bangladesh và Indonesia.
Tất cả các mẫu phần mềm độc hại đều thu thập thông tin của nạn nhân. Mặc dù mục đích của mã độc này về cơ bản không rộng lắm, bao gồm định vị địa lý, nhật ký cuộc gọi, truy cập thông tin liên lạc và SMS, ứng dụng cũng có thể thu thập danh sách các ứng dụng đã cài đặt, thông tin về thiết bị, như kiểu máy và phiên bản hệ điều hành.
Bằng cách sử dụng công cụ nhận diện mã độc của Kaspersky - một công cụ để tìm ra sự tương đồng giữa các mã độc khác nhau, các nhà nghiên cứu có thể xác định rằng, PhantomLance giống ít nhất 20% so với một trong các chiến dịch tấn công thiết bị Android có liên quan đến OceanLotus, một nhóm tin tặc đã hoạt động ít nhất là từ năm 2013 và mục tiêu chủ yếu ở khu vực Đông Nam Á.
Một ứng dụng độc hại có phần mô tả bằng tiếng Việt
Hơn nữa, một số trùng hợp đáng chú ý đã được tìm thấy với các hoạt động trước đây của OceanLotus trên Windows và MacOS. Kaspersky đã báo cáo tất cả các mẫu mã độc được phát hiện cho chủ sở hữu của các cửa hàng ứng dụng hợp pháp và Google Play xác nhận đã gỡ xuống các ứng dụng này.