Một cuộc điều tra gần đây đã phát hiện ra các lỗ hổng khung ảnh số Android đáng báo động trong các thiết bị chạy hệ điều hành này. Điều này biến một tiện ích gia đình hoặc văn phòng đơn giản thành một công cụ tiềm năng cho tội phạm mạng, gây ra rủi ro nghiêm trọng về an toàn thông tin cá nhân và doanh nghiệp.
Các phát hiện cho thấy rằng các ứng dụng được cài đặt sẵn trên các khung ảnh thông minh này không chỉ tự động tải xuống và thực thi mã độc, mà còn có thể chuyển giao toàn bộ quyền kiểm soát thiết bị cho kẻ tấn công từ xa. Quá trình này thường diễn ra mà nạn nhân không hề hay biết hoặc cần tương tác.
Phân Tích Lỗ Hổng Cơ Bản và Cách Khai Thác
Các nhà nghiên cứu bảo mật đã tiến hành phân tích kỹ lưỡng các khung ảnh số dựa trên Uhale, một dòng sản phẩm Android phổ biến được gắn nhãn lại dưới hàng chục thương hiệu tiêu dùng khác nhau. Nghiên cứu đã xác định “tự động phân phối mã độc khi khởi động” là một lỗ hổng khung ảnh số Android nghiêm trọng.
Cơ Chế Phân Phối Mã Độc
- Khi khởi động, ứng dụng Uhale (thường là phiên bản 4.2.0) kết nối với các máy chủ từ xa.
- Nó tải xuống các tệp đáng ngờ, bao gồm các payload dạng APK và JAR.
- Các payload này được gắn cờ là phần mềm gián điệp và trojan bởi các công cụ phân tích hành vi nâng cao.
- Sau khi tải xuống, các tệp độc hại này sẽ được thực thi tự động, thường chạy ngầm mà không có cảnh báo hiển thị cho người dùng.
Mã độc được tải về từ cơ sở hạ tầng được đăng ký tại Trung Quốc. Các tên miền như dc16888888.com và webtencent.com đã liên tục lưu trữ hoặc phân phối nội dung độc hại.
Đáng báo động, các sản phẩm bảo mật trên VirusTotal cho thấy khả năng phát hiện không nhất quán và thường yếu đối với các payload này. Điều này có nghĩa là nhiều ứng dụng chống virus tiêu chuẩn có thể không bảo vệ được người dùng khỏi mối đe dọa mạng này.
Các Lỗ Hổng Kỹ Thuật Cho Phép Chiếm Quyền Điều Khiển
Bề mặt tấn công của ứng dụng Uhale mở rộng vượt xa việc tải xuống mã độc đơn thuần. Ứng dụng này mắc phải một số lỗ hổng rủi ro cao, bao gồm:
- Quản lý tin cậy không an toàn cho HTTPS.
- Thiếu xác thực đầu vào phù hợp.
- Sử dụng không an toàn các đặc quyền hệ thống.
Những yếu điểm này cho phép kẻ tấn công khai thác thiết bị qua mạng để đạt được remote code execution (thực thi mã từ xa) với quyền root. Một điểm yếu đặc biệt nghiêm trọng là trình quản lý tin cậy nhúng của ứng dụng không thực hiện xác thực chứng chỉ SSL/TLS.
Điều này cho phép kẻ tấn công phân phối các payload được tạo ra giả dạng bản cập nhật ứng dụng hợp pháp hoặc dữ liệu. Khung ảnh sau đó sẽ cài đặt và thực thi chúng mà không có cảnh báo và không yêu cầu hành động từ chủ sở hữu.
Các lỗ hổng này có thể được xâu chuỗi để thỏa hiệp hoàn toàn thiết bị thông qua các cuộc tấn công Man-in-the-Middle (MITM), DNS poisoning, hoặc thậm chí khai thác Wi-Fi công cộng.
Các Thương Hiệu và Phạm Vi Ảnh Hưởng
Các khung ảnh số có từ khóa “Uhale” trong tiêu đề hoặc mô tả sản phẩm bị ảnh hưởng bao gồm các thương hiệu sau:
- BIGASUO
- Canupdog
- Euphro
- SAMMIX
- WONNIE
- Jaokpo
- MaxAngel
- jazeyeah
- FANGOR
- Forc
- Caxtonz
- Shenzhen Yunmai Technology Co. LTD.
Các khai thác thực tế đã chứng minh rằng một kẻ tấn công, dù từ mạng cục bộ hay thông qua chặn từ xa, có thể sửa đổi hành vi của thiết bị, trích xuất dữ liệu, truy cập ảnh riêng tư, hoặc sử dụng thiết bị làm bàn đạp cho các cuộc tấn công tiếp theo trong gia đình hoặc doanh nghiệp.
Liên Kết Với Các Mối Đe Dọa Mạng Khác và IOCs
Phân tích kỹ thuật sâu hơn và đối chiếu với các blog bảo mật đã chỉ ra mối liên hệ giữa các chức năng độc hại của ứng dụng Uhale và botnet khét tiếng Vo1d. Botnet này đã lây nhiễm hơn 1.6 triệu TV thông minh dựa trên Android và các thiết bị IoT tương tự.
Ngoài ra, các payload được tải xuống chia sẻ mã và cơ sở hạ tầng với họ mã độc Mzmess. Điều này càng chứng minh bản chất mô-đun và dai dẳng của mối đe dọa mạng này.
Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp liên quan đến cuộc tấn công này bao gồm:
- Tên miền độc hại:
dc16888888.comwebtencent.com
- Phần mềm độc hại / Botnet:
- Ứng dụng Uhale (phiên bản 4.2.0)
- Botnet Vo1d
- Họ mã độc Mzmess
Tác Động Rộng Lớn và Rủi Ro Bảo Mật IoT
Những rủi ro này càng trở nên nghiêm trọng hơn bởi một số sai sót kỹ thuật điển hình của các thiết bị Android giá rẻ.
Tác động của những lỗ hổng khung ảnh số Android này rất đa dạng. Các khung ảnh bị xâm nhập có thể trở thành công cụ giám sát, điểm trích xuất dữ liệu hoặc bị biến thành một phần của các mạng botnet khổng lồ.
Đối với mạng doanh nghiệp, một khung ảnh bị xâm nhập duy nhất cung cấp cơ hội di chuyển ngang cho kẻ tấn công, cho phép chúng nhảy đến các máy trạm, chia sẻ tệp và các hệ thống nhạy cảm khác. Do giá thành thấp và phân phối rộng rãi thông qua các nhà bán lẻ trực tuyến lớn, những khung ảnh Android này hiện diện trong hàng chục nghìn gia đình và nơi làm việc.
Các chuyên gia bảo mật cảnh báo rằng những loại lỗ hổng này chứng minh rủi ro liên tục của các sản phẩm IoT được bảo trì kém. Đặc biệt là những sản phẩm sử dụng Android làm hệ điều hành nhúng và không thực thi các thực hành phát triển bảo mật cơ bản. Việc thiếu sót trong quy trình bảo mật gây ra những nguy cơ lớn cho an ninh mạng IoT trên phạm vi toàn cầu.
Hành Động Khuyến Nghị
Người dùng được khuyến nghị thực hiện các biện pháp sau để giảm thiểu rủi ro:
- Ngắt kết nối ngay lập tức các khung ảnh bị ảnh hưởng khỏi mạng.
- Theo dõi các hành vi bất thường của thiết bị.
- Yêu cầu các bản cập nhật bảo mật hoặc thu hồi thiết bị từ các nhà cung cấp.
Để biết thêm chi tiết kỹ thuật về các lỗ hổng này, bạn có thể tham khảo báo cáo chuyên sâu Phân tích Bảo mật Khung ảnh Số Uhale.
