Mã độc cài đặt sẵn được phát hiện trên hơn 5 triệu điện thoại Android phổ biến

By | 10:51 am | 16/03/2018

android-botnet-malware

Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch phát tán mã độc trên diện rộng đã lây nhiễm đến gần 5 triệu thiết bị di động trên toàn thế giới.

Được gọi là RottenSys, mã độc cải trang là một ứng dụng ‘dịch vụ Wi-Fi hệ thống’ (System Wi-Fi service) được cài đặt sẵn trên hàng triệu thiết bị thuộc các hãng sản xuất như Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE.

Tất cả các thiết bị này đều được vận chuyển bởi Tian Pai, nhà phân phối điện thoại di động ở Hàng Châu, nhưng các nhà nghiên cứu chưa khẳng định được liệu công ty này có liên quan trực tiếp đến chiến dịch này không.

Theo nhóm bảo mật di động Check Point, nhóm phát hiện ra chiến dịch này, RottenSys là một loại mã độc tiên tiến có khả năng lấy các quyền nhạy cảm trong Android để thực hiện các hành vi độc hại của nó.

“Theo như những gì chúng tôi tìm được, mã độc RottenSys bắt đầu lây lan từ tháng 09/2016. Đến ngày 12/03/2018, có 4,964,460 thiết bị bị ảnh hưởng bởi RottenSys,” các nhà nghiên cứu cho biết.

Để tránh bị phát hiện, ứng dụng giả mạo không chứa các thành phần độc hại và cũng không thực thi bất kỳ hành vi độc hại nào ngay lập tức.

Thay vào đó, RottenSys kết nối đến máy chủ C&C để lấy danh sách các thành phần cần thiết, trong đó có cả mã thực thi độc hại. RottenSys sẽ tải về và cài đặt các thành phần này, với quyền “DOWNLOAD_WITHOUT_NOTIFICATION” mà không cần dùng phải tương tác.

Tin tặc thu được $115,000 chỉ trong 10 ngày

android-hacking-software

Tại thời điểm này, mã độc đã tải về một thành phần adware tới tất cả thiết bị bị lây nhiễm để hiển thị quảng cáo lên màn hình chính của thiết bị, cũng như các cửa sổ pop-up để tạo ra doanh thu từ quảng cáo giả mạo.

“RottenSys là một mạng quảng cáo mạnh mẽ. Chỉ trong vòng 10 ngày, nó đã hiển thị quảng cáo 13,250,756 lần (một con số đáng kinh ngạc trong ngành quảng cáo),” các nhà nghiên cứu cho biết.

Theo các nhà nghiên cứu CheckPoint, mã độc đã thu về cho tác giả của nó hơn $115,000 chỉ trong vòng 10 ngày, tuy nhiên những kẻ tấn công đang nhắm đến một cái gì đó “gây ra nhiều thiệt hại hơn là chỉ hiển thị các quảng cáo không mong muốn.”

Do RottenSys được thiết kế để tải và cài đặt bất kỳ thành phần nào từ máy chủ C&C, kẻ tấn công có thể dễ dàng vũ khí hóa hoặc chiếm toàn quyền điều khiển trên toàn bộ các thiết bị bị lây nhiễm.

Đây không phải là lần đầu tiên các nhà nghiên cứu CheckPoint phát hiện cuộc tấn công trên chuỗi cung ứng. Năm ngoái, công ty này đã phát hiện các thiết bị smartphone thuộc Samsung, LG, Xiaomi, Asus, Nexus, Oppo, và Lenovo bị lây nhiễm hai loại mã độc cài sẵn là Loki Trojan và ransomware SLocker được dùng để do thám người dùng.

Phát hiện và gỡ bỏ mã độc trên Android

Để kiểm tra thiết bị của bạn có bị dính mã độc này hay không, hãy vào phần Cài đặt hệ thống → Quản lý ứng dụng, tìm xem có ứng dụng nào có tên gói như sau không:

  • com.android.yellowcalendarz (每日黄历)
  • com.changmi.launcher (畅米桌面)
  • com.android.services.securewifi (系统WIFI服务)
  • com.system.service.zdsgt

Nếu có, chỉ cần gỡ cài đặt các ứng dụng này là được.

Theo: thehackernews.com