Phân tích mã độc đánh cắp dữ liệu AhRat trong ứng dụng ghi màn hình Android iRecorder

07:00 | 19/06/2023 | HACKER / MALWARE
Vừa qua, công ty an ninh mạng ESET đã phát hiện ứng dụng ghi màn hình phổ biến trên Android “iRecorder - Screen Recorder" bị nhiễm mã độc trên cửa hàng ứng dụng Google Play và đặt tên gọi là “AhRat”, một phiên bản tùy chỉnh của trojan truy cập từ xa (RAT) “AhMyth”.

Phiên bản mới iRecorder bị chèn mã độc hại

Ứng dụng có tên gói APK là "com.tsoft.app.iscreenrecorder", được tải lên lần đầu vào ngày 19/9/2021. Chức năng độc hại được cho là đã xuất hiện trong phiên bản 1.3.8 phát hành vào ngày 24/8/2022. Google sau đó đã gỡ bỏ ứng dụng này và khuyến cáo người dùng nếu đã cài đặt thì nên xóa nó khỏi thiết bị của mình. Ứng dụng iRecorder là sản phẩm của nhà phát triển có tên “Coffeeholic Dev”, người cũng đã phát hành một số ứng dụng khác trong những năm qua, ví dụ như: iBlock (com.tsoft.app.iblock.ad); iCleaner (com.isolar.icleaner); iEmail (com.tsoft.app.email); iLock (com.tsoft.app.ilock); iVideoDownload (com.tsoft.app.ivideodownload); iVPN (com.ivpn.speed);…

Nghiên cứu của ESET phát hiện ra rằng iRecorder đã được nhúng mã độc dưới dạng bản cập nhật ứng dụng, gần một năm sau khi lần đầu tiên nó được đưa vào danh sách ứng dụng trên Google Play. Theo ESET, mã độc này cho phép ứng dụng tải lên âm thanh xung quanh từ micrô của thiết bị cứ sau 15 phút, cũng như trích xuất các tài liệu, trang web và tệp phương tiện từ điện thoại của người dùng.

Trước đó vào năm 2019, ESET đã công bố nghiên cứu về một ứng dụng bị nhiễm trojan truy cập từ xa (RAT) dựa trên mã nguồn mở “AhMyth”, ứng dụng này đã vượt qua được quy trình kiểm tra ứng dụng của Google bằng cách ngụy trang thành một ứng dụng độc hại cung cấp tính năng phát trực tuyến qua radio. RAT tận dụng quyền truy cập rộng rãi vào thiết bị của nạn nhân và thường có thể bao gồm điều khiển từ xa, nhưng cũng có chức năng tương tự như phần mềm gián điệp và phần mềm theo dõi.

ESET gọi mã độc mới là AhRat, một phiên bản tùy chỉnh của AhMyth. Lukas Stefanko, nhà nghiên cứu bảo mật tại ESET, người đã phát hiện ra mã độc trong iRecorder, chia sẻ rằng ứng dụng này khi ra mắt lần đầu vào tháng 9/2021 không chứa các tính năng độc hại. “Rất hiếm khi nhà phát triển tải lên một ứng dụng hợp pháp, đợi khoảng gần một năm và sau đó cập nhật mã độc, nó được thêm vào phiên bản sạch (không độc hại) của iRecorder dựa trên mã nguồn mở AhMyth Android RAT và đã tùy chỉnh một số tính năng được chúng tôi đặt tên là AhRat”, Stefanko cho biết trong một báo cáo kỹ thuật.

Hình 1. Ứng dụng iRecorder bị nhiễm mã độc trên Google Play

Ngoài việc cung cấp chức năng ghi màn hình hợp pháp, iRecorder độc hại có thể ghi lại âm thanh xung quanh từ micrô của thiết bị và tải nó lên máy chủ chỉ huy và kiểm soát (C&C) của kẻ tấn công. Nó cũng có thể trích xuất các tệp có phần mở rộng đại diện cho các tệp trang web, hình ảnh, âm thanh, video và tài liệu đã lưu cũng như các định dạng tệp được sử dụng để nén nhiều tệp khỏi thiết bị. Hành vi độc hại cụ thể của ứng dụng như lọc các bản ghi micrô và đánh cắp các tệp có phần mở rộng cụ thể, có ý kiến cho rằng đó là một phần của chiến dịch gián điệp. Tuy nhiên, hiện tại chưa có bằng chứng cụ thể để có thể quy kết tác nhân đứng sau cho bất kỳ cá nhân hay nhóm tin tặc cụ thể nào.

Phân tích chức năng độc hại của AhRat

Trong quá trình phân tích, các nhà nghiên cứu tại ESET đã xác định được hai phiên bản mã độc dựa trên AhMyth RAT. Phiên bản độc hại đầu tiên của iRecorder chứa các phần mã độc của AhMyth RAT, được sao chép mà không có bất kỳ sửa đổi nào. Phiên bản độc hại thứ hai, đó là AhRat, cũng có sẵn trên Google Play và mã AhMyth của nó đã được tùy chỉnh, bao gồm mã và giao tiếp giữa máy chủ C&C và backdoor.

AhMyth RAT là một công cụ mạnh, có khả năng thực hiện nhiều chức năng độc hại khác nhau, bao gồm lọc nhật ký cuộc gọi, danh bạ và tin nhắn văn bản, lấy danh sách các tệp trên thiết bị, theo dõi vị trí thiết bị, gửi tin nhắn SMS, ghi âm và chụp ảnh. Tuy nhiên, các nhà nghiên cứu chỉ quan sát thấy một tập hợp giới hạn các tính năng độc hại bắt nguồn từ AhMyth RAT ban đầu trong cả hai phiên bản được phân tích. Các chức năng này dường như phù hợp với mô hình quyền ứng dụng đã được xác định, cho phép truy cập vào các tệp trên thiết bị và cho phép ghi âm. Đáng chú ý, ứng dụng độc hại cung cấp chức năng quay video, do đó, nó sẽ yêu cầu quyền ghi lại âm thanh và lưu trữ trên thiết bị.

Hình 2. Yêu cầu quyền truy cập vào thiết bị của người dùng

Sau khi cài đặt, AhRat bắt đầu giao tiếp với máy chủ C&C bằng cách gửi thông tin thiết bị cơ bản và nhận các khóa mã hóa cũng như tệp cấu hình được mã hóa (Hình 3). Các khóa này được sử dụng để mã hóa và giải mã tệp cấu hình và một số dữ liệu bị lọc, chẳng hạn như danh sách các tệp tin trên thiết bị.

Hình 3. Giao tiếp C&C ban đầu của AhRat

Sau giao tiếp ban đầu, AhRat sẽ kết nối đến máy chủ C&C và cứ sau 15 phút sẽ yêu cầu một tệp cấu hình mới. Tệp này chứa một loạt lệnh và thông tin cấu hình sẽ được thực thi và cài đặt trên thiết bị được nhắm mục tiêu, bao gồm vị trí hệ thống tệp để trích xuất dữ liệu người dùng, loại tệp có phần mở rộng cụ thể để trích xuất, giới hạn kích thước tệp, thời lượng của micrô các bản ghi (do máy chủ C&C thiết lập; trong quá trình phân tích, nó được đặt thành 60 giây) và khoảng thời gian chờ giữa các lần ghi là 15 phút, cũng là lúc tệp cấu hình mới được nhận từ máy chủ C&C.

Đáng chú ý, tệp cấu hình được giải mã chứa nhiều lệnh hơn AhRat có khả năng thực thi, vì chức năng độc hại nhất định chưa được triển khai. Điều này có thể chỉ ra rằng AhRat là một phiên bản nhỏ tương tự như phiên bản ban đầu chỉ chứa mã độc chưa sửa đổi từ AhMyth RAT. Mặc dù vậy, AhRat vẫn có khả năng trích xuất các tệp từ thiết bị và ghi lại âm thanh bằng micrô của thiết bị.

Hình 4. Tệp cấu hình được giải mã với danh sách các lệnh

Trong quá trình phân tích, các nhà nghiên cứu phát hiện AhRat đã nhận được các lệnh để trích xuất các tệp có phần mở rộng đại diện cho các tệp trang web, hình ảnh, âm thanh, video và tài liệu cũng như các định dạng tệp được sử dụng để nén nhiều tệp. Các phần mở rộng tệp như sau: zip , rar , jpg , jpeg , jpe , jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic , bmp, dib, svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx và txt. Các tệp này được giới hạn ở kích thước 20 MB, sau đó được tải lên máy chủ C&C (Hình 5).

Hình 5. Trích xuất tập tin sang máy chủ C&C

Kết luận

Sự phát triển này chỉ là ví dụ mới nhất về phần mềm độc hại áp dụng kỹ thuật “versioning”, về cơ bản thì nó sẽ tải phiên bản sạch không độc hại của ứng dụng lên cửa hàng Google Play trước để lấy được lòng tin người dùng, sau đó lén lút cài cắm mã độc vào giai đoạn sau thông qua các bản cập nhật ứng dụng.

Các biện pháp phòng ngừa chống lại mối đe dọa này đã được triển khai trong Android 11 và các phiên bản cao hơn ở trạng thái ngủ đông ứng dụng (hibernate). Tính năng này đặt các ứng dụng đã không hoạt động trong vài tháng vào trạng thái ngủ đông một cách hiệu quả, do đó đặt lại các quyền trong thời gian chạy của chúng và ngăn các ứng dụng độc hại hoạt động như dự kiến.

Trường hợp nghiên cứu của AhRat là một ví dụ điển hình về cách một ứng dụng hợp pháp ban đầu có thể trở thành một ứng dụng độc hại, thậm chí sau nhiều tháng phát triển thêm các tính năng theo dõi người dùng và xâm phạm quyền riêng tư của họ. Không có gì lạ khi các ứng dụng độc hại xuất hiện trên Google Play hay các cửa hàng ứng dụng khác. Cả Google và Apple đều sàng lọc ứng dụng để tìm phần mềm độc hại trước khi gỡ bỏ chúng. Năm ngoái, Google cho biết họ đã ngăn hơn 1,4 triệu ứng dụng vi phạm quyền riêng tư trên Google Play.

Tài liệu tham khảo

https://www.welivesecurity.com/2023/05/23/android-app-breaking-bad-legitimate-screen-recording-file-exfiltration/

https://techcrunch.com/2023/05/29/popular-android-app-microphone-spying-google-play/

https://thehackernews.com/2023/05/data-stealing-malware-discovered-in.html

https://www.techtimes.com/articles/292057/20230530/popular-android-screen-recording-app-spies-users-steals-data-researchers-claim.htm

Hồng Đạt

Tin cùng chuyên mục

Tin mới