Hacker chuyên phát triển mã độc cho Android đã điều chỉnh chiến thuật của chúng để vượt qua tính năng bảo mật hạn chế cài đặt “Restricted setting” mới được Google giới thiệu trong Android 13 vừa phát hành.
Android 13 vừa được phát hành hồi đầu tuần này (15/8) cho các thiết bị Pixel và dự án AOSP.
Trong Android mới, Google cố gắng làm tê liệt mã độc cố gắng chiếm các đặc quyền cấp cao trên Android, chẳng hạn như AccessibilityService, để lén lút thực hiện hành vi độc hại trong nền.
Tuy nhiên, các nhà phân tích tại Threat Fabric vừa cho biết rằng những kẻ chuyên phát triển mã độc đang tập trung tạo ra các loại mã độc Android mới có thể vượt qua những hạn chế này. Nhờ vậy chúng vẫn có thể triển khai những payload với đặc quyền cấp cao trên thiết bị của người dùng.
Bảo mật trên Android 13
Trong các phiên bản Android trước, hầu hết mã độc xâm nhập vào thiết bị thông qua ứng dụng Android giả mạo trên Play Store. Chúng thường giả vờ là các ứng dụng thông thường.
Trong khi cài đặt, những ứng dụng này yêu cầu người dùng cấp cho chúng các đặc quyền cấp cao. Sau đó, dựa vào những quyền đó chúng tải và cài thêm các payload độc hại khác bằng cách lạm dụng đặc quyền của Accessibility Service.
Restricted setting
Accessibility Service là một hệ thống hỗ trợ người khuyết tật trên Android, nó cho phép ứng dụng thực hiện các thao tác vuốt và chạm, quay lại hoặc quay lại màn hình chính. Vì thé nó thường xuyên bị lạm dụng để thực hiện tất cả các thao tác trên mà không có sự cho phép của người dùng hoặc người dùng không hề hay biết.
Thông thường, mã độc sử dụng dịch vụ này để tự cấp thêm quyền và ngăn nạn nhân xóa ứng dụng chứa mã độc theo cách thủ công.
Trong Android 13, các kỹ sư bảo mật của Google giới thiệu tính năng giới hạn cài đặt “Restricted setting”, thứ sẽ chặn các ứng dụng yêu cầu đặc quyền Accessibility Service với các ứng dụng được cài đặt theo kiểu sideload. Chỉ các APK có nguồn gốc từ Google Play mới được yêu cầu đặc quyền Accessibility Service.
Tuy nhiên, các nhà nghiên cứu tại Threat Fabric đã tìm ra mã độc có thể vượt qua tính năng bảo mật mới của Google một cách dễ dàng để có quyền truy cập vào Accessibility Service.
Vượt qua Restricted setting của Android 13
Trong báo cáo vừa được công bố, Threat Fabric cho biết họ tìm thấy một ứng dụng Android mới đang bổ sung các tính năng để vượt qua Restricted setting.
Trong khi theo dõi chiến dịch mã độc Xenomorph trên Android, Threat Fabric phát hiện ra một ứng dụng độc hại mới đang được phát triển. Nó được đặt tên là BugDrop với mã nguồn tương tự như Brox, một dự án hướng dẫn phát triển mã độc được chia sẻ rộng rãi trên các diễn đàn hacker.
Tuy nhiên, BugDrop có thêm code Smali trong chuỗi “com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED”. Chuỗi này không có trong code của Brox và nó được đưa vào để tạo ra quá trình cài đặt theo phiên.
Chuỗi tạo ra quá trình cài đặt theo phiênChuỗi tạo ra quá trình cài đặt theo phiên
Cài đặt theo phiên được sử dụng để thực hiện cài đặt mã độc theo nhiều giai đoạn khác nhau trên thiết bị Android. Hacker sẽ chia các gói (APK) thành những phần nhỏ hơn và đặt cho chúng tên, mã phiên bản và ký chứng chỉ giống hệt nhau.
Bằng cách này, Android sẽ không thấy cài đặt payload khi sideload APK và do đó hạn chế Accessibility Service sẽ không được áp dụng.
“Khi được triển khai đầy đủ, sửa đổi nhỏ này sẽ phá vỡ hoàn toàn biện pháp bảo mật mới của Google, ngay cả trước khi chúng có hiệu lực”, Threat Fabric chia sẻ.
Google hiện chưa đưa ra bình luận nào về vấn đề này.
Theo nguồn sưu tầm.