Trend Micro phát hiện lỗ hổng bảo mật trên hệ điều hành Android mang tên “Janus”. Qua đó, tin tặc có thể kiểm soát thiết bị của người dùng và đánh cắp thông tin cá nhân.
Tháng 1/2017, bản cập nhật Android mới nhất đã vá lại một lỗ hổng bảo mật nghiêm trọng trên nền tảng này. Qua lỗ hổng bảo mật đó, tin tặc có thể sửa đổi ứng dụng đã cài đặt mà không ảnh hưởng đến chữ ký xác minh. Điều đó còn gián tiếp giúp kẻ tấn công có thể truy cập vào thiết bị ảnh hưởng. Lỗ hổng này được phát hiện lần đầu tiên vào tháng 7 vừa qua. Nó được gọi là CVE-2017-13156 hay có tên khác là lỗ hổng bảo mật Janus. Lỗ hổng bảo mật này xuất hiện trên các phiên bản từ 5.1.1 đến 8.0, mà hầu hết 74% các thiết bị Android đều đang sử dụng.
Trend Micro đã phát hiện ra ít nhất một ứng dụng trong hệ sinh thái Android bị dính lỗ hổng bảo mật. Janus rất khó bị phát hiện bởi các phần mềm bảo mật điện thoại. Điều này cảnh báo rằng thông tin người dùng có thể bị đánh cắp thông tin trong tương lai.
Bộ cài đặt của Android .APK thuộc định dạng file .ZIP. Định dạng tệp tin này có nhiều điều kiện giúp tin tặc thực hiện các cuộc tấn công.
Cấu trúc tệp tin này bao gồm 3 phần là các file zip đầu vào (ZIP files Entries), thư mục chính (Central Directory) và phần kết thúc bản ghi thư mục chính (End of Central Directory). Thư mục chính chứa thông tin các tệp được nén. Các ứng dụng sẽ dùng thư mục này để truy cập tệp đó khi cần thiết.
Tuy nhiên, không có yêu cầu các mục nhập tệp tin phải nằm bên cạnh nhau. Thậm chí dữ liệu có thể nằm tùy ý trong tệp .ZIP.
Kẻ tấn công đặt một tệp DEX độc hại trong các tệp tin Zip đầu vào. Những phiên bản Android cũ sẽ nhận dạng tệp này dưới dạng tệp APK hợp lệ và cố gắng thực hiện tác vụ với nó.
Android Runtime (ART) chịu trách nhiệm tải mã DEX về tệp APK. Nó sẽ kiểm tra tệp tin này, và vì mã DEX nằm trong tiêu đề, nó được công nhận là một tệp tin DEX hợp lệ và được chạy trực tiếp. ART xem xét mã nằm sau đó (nội dung ban đầu của tệp APK) như dữ liệu rác và bỏ qua việc thực hiện nó. Dù vậy, hệ thống vẫn sẽ xem tệp tin này là tệp APK hợp lệ và thực hiện tác vụ bình thường.
Nhìn chung, phần mềm độc hại này có thể lạm dụng lỗ hổng bảo mật Janus theo hai cách. Đầu tiên, tệp DEX được sử dụng để qua mặt các biện pháp bảo mật của Android. Phần mềm độc hại này sẽ tự tải xuống những tệp tin nguy hiểm ẩn trong tệp APK. Tiếp đó, nó được sử dụng để chỉnh sửa nội dung ứng dụng mà người xuất bản ứng dụng không hề hay biết. Tin tặc sử dụng ứng dụng để truy cập và đánh cắp thông tin người dùng. Phần mềm độc hại này sẽ giả mạo danh tính của các ứng dụng hợp pháp để bỏ qua một số giải pháp bảo mật.
Khi lỗ hổng Janus được công bố, các chuyên gia đã kiểm tra để chắc rằng lỗ hổng bảo mật này có sử dụng lại phần mềm độc hại được phát hiện trước đó hay không. Họ đã tìm thấy một ứng dụng có chứa phần mềm độc hại đã sử dụng lỗ hổng này. Ứng dụng có tên là ANDROIDOS_JANUS.A. Ngay sau đó, các chuyên gia đã làm việc với Google để đưa ra những biện pháp xử lý thích hợp và cảnh báo người dùng. (Google đã gắn cờ ứng dụng này là độc hại)
Cụ thể, ứng dụng này trước đây đã xuất hiện trên Google Play dưới dạng ứng dụng rác, nhưng sau đó được cập nhật để trở thành ứng dụng tin tức. Tuy nhiên, nó không được xuất hiện trong CH Play.
Phần mềm độc hại này lợi dụng lỗ hổng để tải mã động. Tệp DEX chỉ chứa một phần nhỏ để giải mã dung lượng thật từ các nguồn độc khác. Việc này được thực hiện qua lỗ hổng Janus nhằm tạo ra một ứng dụng không đúng định dạng với tệp DEX trong tiêu đề. Nó sẽ khiến máy quét phần mềm bỏ qua các mã độc và xem như là tệp tin DEX bình thường.
Phần mềm độc hại này sẽ chạy như một dịch vụ nền khi thiết bị Android khởi động. Sau đó, nó kết nối với máy chủ C&C của tin tặc và cài đặt nhiều phần mềm độc hại hơn nữa vào thiết bị của nạn nhân. Janus hiện đang được tin tặc sử dụng để tránh các giải pháp bảo mật. Tuy nhiên, các chuyên gia không loại trừ khả năng phần mềm độc hại này được sử dụng như một trình “downloader”.
Sang phiên bản Android 7.0 (Nougat), các nhà phát hành đã giới thiệu một sơ đồ chữ ký mới (phiên bản 2). Tin tặc vẫn có thể chèn tệp DEX vào tiêu đề như các phiên bản trước. Nhưng một cuộc tấn công thành công vẫn yêu cầu phải xóa đi phần mới được thêm vào trong sơ đồ chữ ký này.
Dù vậy, các chuyên gia vẫn thích sử dụng một chữ ký hỗn hợp (cả phiên bản 1 và 2). Cuộc tấn công bằng Janus vẫn có thể xảy ra trên các thiết bị sử dụng các phiên bản Android cũ. Vì vậy, lời khuyên dành cho người dùng là nên nâng cấp các phiên bản Android 7.0 trở lên.
Kết luận lại, không phải tất cả giải pháp bảo mật di động có thể giải quyết được sự cố này. Mã độc DEX được nhúng trong các ứng dụng thông thường có khả năng qua mắt được nhiều giải pháp bảo mật. Giải pháp Enterprise MDM cũng không thể phát hiện được lỗ hổng bảo mật này. Yêu cầu đặt ra cho các nhà cung cấp phải nâng cao khả năng quét và phát hiện các ứng dụng Android độc hại.
Các giải pháp bảo mật của Trend Micro như Mobile Security dành cho Android đã có thể phát hiện các loại đe dọa này. Trong khi đó, Mobile Security dành cho Doanh nghiệp cung cấp khả năng quản lý, kiểm tra và bảo vệ dữ liệu của thiết bị trước các cuộc tấn công bằng việc sử dụng lỗ hổng bảo mật. Bên cạnh đó, phần mềm còn giúp ngăn chặn sự truy cập trái phép vào các ứng dụng cũng như phát hiện các trang web độc hại.
