Virus Android mới sử dụng ứng dụng cập nhật giả để truy cập WhatsApp và màn hình

Một ứng dụng hứa hẹn giải quyết các vấn đề kết nối Internet di động ẩn chứa nhiều rủi ro hơn. Việc cài đặt dẫn đến phần mềm có khả năng giám sát thực tế mọi thứ xảy ra trên điện thoại di động.

Các nhà nghiên cứu từ tổ chức Osservatorio Nessuno của Ý đã xác định được phần mềm độc hại có tên Morpheus. Chương trình tự thể hiện dưới dạng bản cập nhật hệ thống hoặc cấu hình mạng và có thể truy cập màn hình, tin nhắn, âm thanh, video và thậm chí liên kết các thiết bị bổ sung với WhatsApp mà chủ sở hữu không nhận ra ngay lập tức. Vụ việc đã thu hút sự chú ý trong tuần này sau khi báo cáo chi tiết được công bố.

Cuộc tấn công bắt đầu như thế nào khi dịch vụ bị gián đoạn

Các nhà khai thác điện thoại tham gia giai đoạn đầu trong một số trường hợp đã đăng ký. Họ cắt quyền truy cập internet di động của mục tiêu. Ngay sau đó, một tin nhắn SMS gửi đến kèm theo liên kết đến một trang web mô phỏng sự hỗ trợ từ nhà điều hành, chẳng hạn như Fastweb ở Ý. Người dùng không có kết nối có xu hướng làm theo hướng dẫn và cài đặt ứng dụng được đề xuất.

Ứng dụng ban đầu, được gọi là dropper, có tên gói là com.android.cored. Nó chỉ được sử dụng để cài đặt giai đoạn thứ hai, tác nhân chính với gói com.android.core và phiên bản 2025.3.0. Toàn bộ quá trình khai thác lòng tin của người dùng vào các bản cập nhật hệ thống.

• Dropper kiểm tra xem tác nhân đã được cài đặt chưa
• Sao chép tệp APK tác nhân từ tài nguyên nội bộ
• Yêu cầu quyền cài đặt ứng dụng bên ngoài
• Thực hiện cài đặt tự động toàn bộ phần mềm độc hại

Cách tiếp cận này tránh được các hoạt động khai thác phức tạp và dựa vào kỹ thuật xã hội, được các nhà nghiên cứu phân loại là phần mềm gián điệp chi phí thấp.

Các tính năng của Morpheus vượt xa những điều cơ bản

Sau khi cài đặt, tác nhân sẽ kích hoạt các dịch vụ trợ năng của Android. Công cụ này được tạo ra để giúp đỡ người khuyết tật, cho phép bạn đọc màn hình, mô phỏng thao tác chạm và tương tác với các ứng dụng khác. Morpheus tuyên bố là một công cụ trợ năng hợp pháp để có được các quyền này.

Phần mềm này cũng yêu cầu quyền quản trị viên thiết bị và cho phép gỡ lỗi không dây thông qua ADB. Với điều này, nó thực thi các lệnh shell để âm thầm cấp tất cả các quyền nguy hiểm. Nó vô hiệu hóa các chỉ báo camera và micrô, ngăn phần mềm chống vi-rút hoạt động bình thường và điều chỉnh cài đặt pin để duy trì hoạt động ở chế độ nền.

Các khả năng chính được xác nhận trong báo cáo:

• Ảnh chụp màn hình thời gian thực
• Ghi âm thanh và video
• Đọc thông báo và nội dung ứng dụng
• Liên kết một thiết bị bổ sung trên WhatsApp bằng giả mạo sinh trắc học
• Vô hiệu hóa biểu tượng quyền riêng tư của hệ thống
• Thực thi các lệnh ADB để nâng cao đặc quyền
• Kiên trì sau khi khởi động lại điện thoại di động
• Hỗ trợ cho nhiều kiểu máy và ngôn ngữ Android

Trong quá trình này, phần mềm độc hại hiển thị màn hình cập nhật và khởi động lại giả mạo. Trong khi người dùng nhìn thấy tiến trình mô phỏng, ứng dụng sẽ thực hiện các hành động ở chế độ nền, bao gồm cả việc mở WhatsApp để thêm thiết bị do kẻ tấn công kiểm soát.

Liên lạc với công ty đánh chặn hợp pháp của Ý

Cơ sở hạ tầng của Morpheus hướng đến IPS Intelligence, một công ty của Ý có hơn 30 năm kinh nghiệm về công nghệ ngăn chặn pháp luật cho lực lượng cảnh sát và các cơ quan chính phủ. Công ty hoạt động tại hơn 20 quốc gia và liệt kê khách hàng là cơ quan an ninh công cộng ở Ý.

Leia Também

NASA tắt thiết bị Du hành 1 để mở rộng sứ mệnh trong không gian giữa các vì sao

Bảo tàng Scotland trưng bày hóa thạch bò sát 240 triệu năm tuổi hoàn chỉnh

Sony hiện yêu cầu xác thực trực tuyến duy nhất để phát hành trò chơi kỹ thuật số trên PlayStation 5 và 4

Mã của phần mềm độc hại chứa các biểu thức bằng tiếng Ý, bao gồm các tham chiếu văn hóa điển hình cho các diễn biến tương tự khác ở quốc gia này. Các nhà nghiên cứu đã liên kết các địa chỉ IP và thành phần với các miền liên kết với IPS và các công ty liên quan như Rever Servicenet và Iris Telecomunicazioni.

Không giống như các phần mềm gián điệp phức tạp hơn sử dụng các lỗ hổng không cần nhấp chuột, Morpheus yêu cầu người dùng phải hành động. Tính năng này giúp giảm chi phí phát triển nhưng vẫn duy trì hiệu quả đối với các mục tiêu cụ thể, đặc biệt là trong bối cảnh giám sát có mục tiêu.

Các biện pháp bảo vệ chống lại loại mối đe dọa này

Các chuyên gia khuyên bạn nên thận trọng với các liên kết nhận được qua SMS yêu cầu cài đặt ứng dụng. Các bản cập nhật ứng dụng và Android chính thức phải luôn thông qua Cửa hàng Google Play hoặc thông qua chính cấu hình hệ thống.

Người dùng có thể kiểm tra khả năng truy cập và quyền quản trị viên thiết bị trong cài đặt Android. Các ứng dụng yêu cầu quyền truy cập màn hình rộng hoặc chạy ở chế độ nền cần được chú ý nhiều hơn. Luôn cập nhật hệ thống giúp hạn chế một số kỹ thuật nâng cao đặc quyền.

Vụ việc củng cố các cuộc thảo luận về việc chính phủ sử dụng các công cụ giám sát và sự cần thiết phải minh bạch từ các nhà khai thác điện thoại khi họ làm gián đoạn dịch vụ một cách có chủ đích.

Chi tiết kỹ thuật đại lý chính

CoreService của Morpheus quản lý các hành động trợ năng trong quy trình làm việc tuần tự. Một trong số họ đảm nhiệm việc cấp quyền, một người khác mở WhatsApp và mô phỏng sinh trắc học. Lớp phủ SYSTEM_ALERT_WINDOW cho phép bạn vẽ các giao diện giả lên trên bất kỳ ứng dụng nào, bao gồm cả việc tạm thời chặn các thao tác chạm vào màn hình trong quá trình này.

Các lệnh của ADB bao gồm cấp phép chiều cho các quyền, điều chỉnh DeviceConfig để ẩn các chỉ báo cảm biến và chặn các gói chống vi-rút đã biết. Tập lệnh command.txt sắp xếp các bước này thành các giai đoạn riêng biệt, thích ứng với các nhà sản xuất như Samsung, Xiaomi và Oppo.

Phiên bản được phân tích hỗ trợ nhiều ROM và kiểu máy, điều này cho thấy nỗ lực hoạt động trên nhiều loại thiết bị Android trên thị trường.