Theo Zimperium, các chuyên gia an ninh mạng mới đây đã phát hiện các tác nhân đe dọa đang sử dụng các tệp phầm mềm Android (APK) với các phương pháp nén mới chưa được các định hoặc không được hỗ trợ để tránh bị phân tích bởi các công cụ chống mã độc.

Đac có tới 3.300 phầm mềm (artifact) sử dụng các thuật toán nén như vậy trong thực tế, 71 trong số các mẫu được xác định có thể được tải trên hệ điều hành mà không gặp bất kỳ sự cố nào.

Các chuyên gia cho biết, hiện vẫn chưa có bằng chứng nào cho thấy các ứng dụng này đã từng tồn tại trên Cửa hàng Google Play, điều này cho thấy các ứng dụng này đã được phân phối qua các phương tiện khác, thường là qua các cửa hàng ứng dụng không đáng tin cậy hoặc social engineering để lừa nạn nhân tải chúng xuống.

Social Engineering (hay tấn công phi kỹ thuật) là thuật ngữ phổ biến trong lĩnh vực bảo mật thông tin, mô tả kiểu tấn công sử dụng các hình thức thao túng hành vi của con người thay vì tập trung khai thác các lỗ hổng bảo mật của máy móc, thiết bị. Qua đó, kẻ tấn công có thể đạt được các mục đích của mình như xâm nhập vào hệ thống, truy cập thông tin quan trọng,… mà không cần phải thực hiện những kỹ thuật tấn công quá phức tạp.

Nhà nghiên cứu bảo mật Fernando Ortega cho biết các tệp APK sử dụng "một kỹ thuật hạn chế khả năng dịch ngược (decompiling) ứng dụng cho một số lượng lớn công cụ, nhằm làm giảm khả năng bị phân tích". "Để làm được điều đó, APK (về bản chất là tệp ZIP), đang sử dụng phương pháp giải nén không được hỗ trợ."

Ưu điểm của cách tiếp cận này là khả năng chống lại các công cụ decompilation, trong khi vẫn có thể cài đặt trên các thiết bị Android có phiên bản hệ điều hành cao hơn Android 9 Pie.

Các gói Android sử dụng định dạng ZIP ở hai chế độ, một chế độ không nén và một chế độ sử dụng thuật toán DEFLATE. Phát hiện đáng chú ý là các APK được đóng gói (packed) bằng các phương pháp nén không được hỗ trợ không thể cài đặt được trên thiết bị di động chạy phiên bản Android dưới 9, nhưng chúng hoạt động bình thường trên các phiên bản mới hơn.

Ngoài ra, Zimperium còn phát hiện ra rằng các tác giả phần mềm độc hại cũng đang cố tình làm hỏng các tệp APK bằng cách đặt tên tệp dài hơn 256 byte và tệp AndroidManifest.xml không đúng định dạng để gây ra sự cố trên các công cụ phân tích.

Tiết lộ này được đưa ra vài tuần sau khi Google tiết lộ rằng các tác nhân đe dọa đang lạm dụng một kỹ thuật gọi là ‘versioning’ để trốn tránh việc phát hiện phần mềm độc hại trên Play Store và nhắm mục tiêu vào người dùng Android.

Với những cảnh báo mới của các chuyên gia bảo mật, các chủ sở hữu thiết bị chạy hệ điều hành Android cần chú ý không tải các ứng dụng hoặc click vào các đường link không rõ nguồn gốc được tiếp cận trên môi trường Internet để hạn chế tối đa các rủi ro không đáng có từ các hình thức lừa đảo trực tuyến ngày càng tinh vi . 

Cùng với đó, người sử dụng mạng cũng nên chủ động trang bị các công cụ phát hiện các công cụ phát hiện mã độc cho thiết bị để tránh bị hacker tấn công và gây tổn thất.

Thái An