Tin tặc đang sử dụng một ứng dụng Android giả mạo có tên 'SafeChat' để lây nhiễm phần mềm gián điệp độc hại nhằm đánh cắp thông tin nhật ký cuộc gọi, tin nhắn và vị trí GPS từ điện thoại. Phần mềm gián điệp Android bị nghi ngờ là một biến thể của "Coverlm", được thiết kế để đánh cắp dữ liệu từ các ứng dụng liên lạc như Telegram, Signal, WhatsApp, Viber và Facebook Messenger. Các nhà nghiên cứu của CYFIRMA cho biết nhóm APT Ấn Độ 'Bahamut' là nhóm hack đứng đằng sau chiến dịch này, với các cuộc tấn công gần đây nhất của họ được thực hiện chủ yếu thông qua các tin nhắn lừa đảo trực tuyến trên WhatsApp để gửi các tệp (payload) độc hại trực tiếp đến nạn nhân. Ngoài ra, các nhà phân tích của CYFIRMA đã chỉ ra một số điểm tương đồng của nhóm với một nhóm đe dọa khác do nhà nước Ấn Độ hậu thuẫn, 'DoNot APT' (APT-C-35), nhóm này trước đây cũng đã lây nhiễm phần mềm gián điệp trên cửa hàng Google Play bằng các ứng dụng trò chuyện giả mạo. Cuối năm ngoái, ESET đã báo cáo rằng Bahamut đang sử dụng các ứng dụng VPN Android giả mạo có chứa nhiều chức năng hỗ trợ hoạt động gián điệp mạng. Trong chiến dịch mới nhất do CYFIRMA phát hiện, Bahamut đang nhắm mục tiêu vào các cá nhân ở Nam Á. SafeChat Trong các cuộc tấn công được phát hiện, nạn nhân thường bị lừa cài đặt ứng dụng trò chuyện với lý do chuyển cuộc trò chuyện sang một nền tảng an toàn hơn. SafeChat có giao diện giống như một ứng dụng trò chuyện thực sự và nó cũng yêu cầu nạn nhân đăng ký tài khoản thông qua một quy trình có vẻ hợp pháp để tăng thêm độ tin cậy cho phần mềm gián điệp. Một bước quan trọng trong quá trình lây nhiễm là giành được quyền sử dụng Dịch vụ trợ năng (Accessibility Services), sau đó lạm dụng nó để tự động cấp thêm quyền cho phần mềm gián điệp. Các quyền bổ sung cho phép phần mềm gián điệp truy cập vào danh sách liên hệ, SMS, nhật ký cuộc gọi, bộ nhớ thiết bị bên ngoài và trích xuất dữ liệu vị trí GPS từ thiết bị bị nhiễm. Ứng dụng cũng yêu cầu người dùng loại trừ nó khỏi hệ thống tối ưu hóa pin của Android, hệ thống này sẽ dừng các tiến trình chạy ngầm khi người dùng không tích cực tương tác với ứng dụng. Dữ liệu bị đánh cắp sẽ được mã hóa và chuyển đến máy chủ do kẻ tấn công kiểm soát thông qua cổng (port) 2053. Dữ liệu được mã hóa bằng một mô-đun hỗ trợ RSA, ECB và OAEPPadding. Đồng thời, những kẻ tấn công còn sử dụng chứng chỉ "letsencrypt" để trốn tránh mọi nỗ lực chặn bắt dữ liệu mạng chống lại chúng. CYFIRMA cho biết rằng họ có đủ bằng chứng để liên kết hoạt động của Bahamut với một chính quyền bang cụ thể ở Ấn Độ. Ngoài ra, việc sử dụng cùng một cơ quan cấp chứng chỉ như nhóm DoNot APT, các phương pháp đánh cắp dữ liệu tương tự, phạm vi nhắm mục tiêu và việc sử dụng các ứng dụng Android giả mạo để lây nhiễm mã độc cho thấy sự tương đồng hoặc cộng tác chặt chẽ giữa hai nhóm. Để giảm thiểu các nguy cơ bị lây nhiễm phần mềm độc hại, người dùng chỉ nên tải và cài đặt các phần mềm, ứng dụng từ những nguồn đáng tin cậy và kiểm tra cẩn thận các quyền mà ứng dụng yêu cầu có thực sự cần thiết để thực hiện chức năng của nó hay không, nếu phát hiện bất kỳ điểm đáng ngờ nào, tốt nhất, bạn không nên cài đặt nó. Hàng loạt động thái của các mạng xã hội nhằm vào Trump và những người cực đoan khiến nhiều người dùng tìm đến Signal trong thời gian ngắn. Chỉ trong vòng vài ngày, Signal đã trở thành ứng dụng miễn phí số một trên App Store và Google Play, phần lớn nhờ ba yếu tố hoàn toàn nằm ngoài quyền kiểm soát của nhà phát triển. Đầu tiên là việc Facebook và Twitter chặn hoặc xóa tài khoản của Tổng thống Mỹ Donald Trump, khiến nhiều người ủng hộ ông tìm đến những nền tảng thay thế. Tiếp đó, một trong những phương án thay thế là Parler bị Apple và Google xóa khỏi hệ thống sau khi có thông tin cho thấy người dùng ứng dụng này liên quan đến vụ tấn công Đồi Capitol hôm 6/1. Parler sau đó biến mất hoàn toàn khi Amazon xóa tài khoản AWS của nhà phát triển. Cuối cùng, WhatsApp cập nhật chính sách riêng tư hồi đầu tuần và buộc người dùng đồng ý cho phép ứng dụng chia sẻ dữ liệu với Facebook để tiếp tục sử dụng. Sự hỗn loạn sau thay đổi và xử lý sai lầm khiến nhiều người lo ngại về nguy cơ đánh mất dữ liệu vào tay Facebook. Tỷ phú Elon Musk lập tức đăng dòng trạng thái "Dùng Signal" lên tài khoản Twitter với 42 triệu người theo dõi.  Sự cố với WhatsApp khiến Signal thu hút sự chú ý của người dùng. Ảnh: AFP. Kết quả là mọi người đổ sang ứng dụng nhắn tin mã hóa được hỗ trợ bởi Signal Foundation. Chỉ trong một ngày, hơn 1,5 triệu người đã tải ứng dụng Signal Messenger về. Trang Sensor Tower chuyên phân tích dữ liệu ứng dụng mobile cho thấy có hơn 17,8 triệu lượt tải về Signal chỉ trong một tuần, con số đáng kinh ngạc với ứng dụng chỉ ghi nhận trung bình 50.000 lượt tải/ngày trước đó. Số lượt tải về tăng vọt còn gây vấn đề với hệ thống xác nhận của Signal, làm chậm trễ quá trình đăng ký tài khoản cho người dùng mới. Signal vẫn ở "cửa dưới" WhatsApp vẫn là ứng dụng nhắn tin phổ biến nhất thế giới với hơn 2 tỷ người dùng mỗi tháng, bất chấp vấn đề chính sách riêng tư gần đây. Trong khi đó, Signal có khoảng 20 triệu lượt cài đặt tính đến cuối năm 2020. Lý do là nhiều nhóm người dùng khác nhau đổ xô tới ứng dụng này, liên quan tới những diễn biến từ rất lâu trước sự việc của WhatsApp. Lần gây chú ý gần nhất của Signal bắt đầu trong các đợt biểu tình vì quyền của người da màu hồi giữa năm ngoái. Nó là lựa chọn của người biểu tình, giới báo chí và những người quan tâm đến an ninh, bởi tin nhắn của Signal không bao giờ được lưu trữ trên máy chủ của nhà phát triển và chỉ có thể được người nhận giải mã. Thành công một đêm đến từ nhiều năm chuẩn bị Sự ra đời của Signal có công sức của Brian Acton, người thành lập WhatsApp. Sau khi WhatsApp được Facebook mua lại, Acton rời công ty và thành lập quỹ phi lợi nhuận để phát triển giao thức mã hóa nguồn mở, sau này cũng được chính WhatsApp sử dụng. Điểm khác biệt chủ chốt là tính năng bảo vệ riêng tư của Signal tốt đến mức khi công ty được tòa án yêu cầu nộp dữ liệu về một người dùng, họ chỉ có thể thấy thời điểm tài khoản được lập và ngày hoạt động cuối cùng. Không có bất kỳ thông tin nào về tin nhắn hoặc địa chỉ liên lạc. Ngay cả khi có người chặn được tin nhắn mã hóa, nội dung của nó cũng giống một mớ hỗn độn. Chỉ có người nhận với khóa an ninh phù hợp mới có thể giải mã nó. Signal mặc định mã hóa mọi cuộc đối thoại, người dùng không thể tắt tính năng này nếu muốn. Đó là điểm khác biệt với những ứng dụng tương tự. Telegram vọt lên hạng hai trên App Store cùng thời điểm với Signal, đạt hơn 400 triệu người dùng. Telegram có tính năng mã hóa đầu cuối, nhưng nó được mặc định tắt và không thể dùng trên các kênh trong nền tảng này. Tính riêng tư được chú ý Điều tốt là nhiều người bắt đầu chú ý tới cách mà các mạng xã hội xử lý dữ liệu cá nhân của họ. Chính sách mới của WhatsApp không khác biệt nhiều so với trước đây, nhưng sự lo ngại của người dùng cho thấy suy nghĩ của họ với những tập đoàn như Facebook, vốn xây dựng mô hình kinh doanh kiếm tiền từ dữ liệu cá nhân của người dùng. Signal khác biệt không chỉ bởi khả năng mã hóa để bảo vệ nội dung đàm thoại, mà nó còn được phát triển khác biệt ngay từ khởi đầu. Công ty không chạy quảng cáo, không bán dữ liệu người dùng, thậm chí không thu tiền. Nó tồn tại dưới dạng phi lợi nhuận và được hỗ trợ bởi tiền đóng góp của người dùng. |
