Gazon AmazonR – Spam quảng cáo qua ứng dụng giả mạo Amazon
1.Giới thiệu
Đây là mã độc có khả năng lây lan nhanh qua tin nhắn SMS với nội dung là 1 đoạn link ngắn dẫn đến 1 website để nhận quà của Amazon. Để nhận quà người dùng phải cài đặt 1 game có sẵn trên Google play hoặc điền thông tin khảo sát vào 1 mẫu đơn có sẵn.
Cơchế tấn công:
Mã độc này giả mạo ứng dụng Amazon. Khi người dùng cài đặt và khởi chạy lần đầu tiên, nó sẽ dẫn người dùng đến một trang web, tại đây sẽ có lời mời nhận quà của Amazon. Để nhận quà, hoặc là người dùng sẽ tải và cài đặt một game trên Google play hoặc là phải điền thông tin khảo sát vào mẫu có trước. Trong khi người dùng thực hiện các yêu cầu đó thì có 1 tiến trình ngầm thực hiện việc lấy thông tin liên lạc trong danh bạ và gửi tin nhắn rác đến tất cả các số trong danh bạ. Nội dung tin nhắn vẫn là mời click vào link để nhận quà. Cứ như vậy, tốc độ lây lan của mã độc này là cực kỳ nhanh vì những người được mời đều tin rằng đó là thật vì lời mời được gửi từ bạn của mình.
2.Phân tích mẫu
Thông tin mẫu:
SHA256:986e026e9703dea366d3e673a29d6444c32a024615397475e39ab3f780cad0e6
Công cụ: dex2jar, jdgui
Sử dụng công cụ dex2jar để dịch ngược mẫu. Dùng jdgui để đọc mã Java bytecode. Nhấn Ctrl+Shift+S để tìm kiếm theo từ khóa.
Đầu tiên ta tìm kiếm từ khóa onCreate để xem mã độc này thực hiện những gì khi được khởi chạy
Hình1: Đoạn mã dẫn người dùng đến trang web giả mạo Amazon có chứa lời mời nhận quà.
Hình2: Giao điện trang web có địa chỉ 188.122.91.51
Nếu người dùng tiếp tục click vào nút “Take the Survey!”thì sẽ được dẫn tới một trang cài đặt game hoặc đó chỉ là quảng cáo tính tiền bằng click.
Hình3: Đoạn mã dẫn người dùng đến trang cài đặt game của Google Play
Hình4: Trang cài đặt game được hiển thị sau khi người dùng click vào “Take the Survey!”
Trong khi người dùng loay hoay click thì có một tiến trình ngầm gửi tin nhắn rác với lời mời tương tự đến tất cả bạn bè trong danh bạ của nạn nhân.
Hình5: Đoạn mã thực hiện gửi tin nhắn rác tới tất cảbạn bè trong danh bạ của nạn nhân
Nội dung chính của tin nhắn là “Iam sending you $200 Amazon Gift Card You can Claim it here :https://bit.ly/getAmazonReward”
3.Kết luận
Đây là mã độc giả mạo Amazon để thực hiện quảng cáo cho một thương hiệu hoặc ứng dụng game nào đó. Ứng dụng này lây lan hàng loạt qua tin nhắn SMS.
4.Biện pháp phòng tránh
Thận trọng với những tin nhắn rác có link đính kèm. Không cài ứng dụng không rõ nguồn gốc. Nếu cài rồi mà phát hiện ứng dụng không đúng như những gì mong muốn thì phải gỡ ngay.
Các trình Antivirus trên thị trường đã chặn được mã độckiểu này.
Đây là mã độc có khả năng lây lan nhanh qua tin nhắn SMS với nội dung là 1 đoạn link ngắn dẫn đến 1 website để nhận quà của Amazon. Để nhận quà người dùng phải cài đặt 1 game có sẵn trên Google play hoặc điền thông tin khảo sát vào 1 mẫu đơn có sẵn.
Cơchế tấn công:
Mã độc này giả mạo ứng dụng Amazon. Khi người dùng cài đặt và khởi chạy lần đầu tiên, nó sẽ dẫn người dùng đến một trang web, tại đây sẽ có lời mời nhận quà của Amazon. Để nhận quà, hoặc là người dùng sẽ tải và cài đặt một game trên Google play hoặc là phải điền thông tin khảo sát vào mẫu có trước. Trong khi người dùng thực hiện các yêu cầu đó thì có 1 tiến trình ngầm thực hiện việc lấy thông tin liên lạc trong danh bạ và gửi tin nhắn rác đến tất cả các số trong danh bạ. Nội dung tin nhắn vẫn là mời click vào link để nhận quà. Cứ như vậy, tốc độ lây lan của mã độc này là cực kỳ nhanh vì những người được mời đều tin rằng đó là thật vì lời mời được gửi từ bạn của mình.
2.Phân tích mẫu
Thông tin mẫu:
SHA256:986e026e9703dea366d3e673a29d6444c32a024615397475e39ab3f780cad0e6
Công cụ: dex2jar, jdgui
Sử dụng công cụ dex2jar để dịch ngược mẫu. Dùng jdgui để đọc mã Java bytecode. Nhấn Ctrl+Shift+S để tìm kiếm theo từ khóa.
Đầu tiên ta tìm kiếm từ khóa onCreate để xem mã độc này thực hiện những gì khi được khởi chạy
Hình1: Đoạn mã dẫn người dùng đến trang web giả mạo Amazon có chứa lời mời nhận quà.
Hình2: Giao điện trang web có địa chỉ 188.122.91.51
Hình3: Đoạn mã dẫn người dùng đến trang cài đặt game của Google Play
Hình4: Trang cài đặt game được hiển thị sau khi người dùng click vào “Take the Survey!”
Hình5: Đoạn mã thực hiện gửi tin nhắn rác tới tất cảbạn bè trong danh bạ của nạn nhân
Nội dung chính của tin nhắn là “Iam sending you $200 Amazon Gift Card You can Claim it here :https://bit.ly/getAmazonReward”
3.Kết luận
Đây là mã độc giả mạo Amazon để thực hiện quảng cáo cho một thương hiệu hoặc ứng dụng game nào đó. Ứng dụng này lây lan hàng loạt qua tin nhắn SMS.
4.Biện pháp phòng tránh
Thận trọng với những tin nhắn rác có link đính kèm. Không cài ứng dụng không rõ nguồn gốc. Nếu cài rồi mà phát hiện ứng dụng không đúng như những gì mong muốn thì phải gỡ ngay.
Các trình Antivirus trên thị trường đã chặn được mã độckiểu này.
Chỉnh sửa lần cuối bởi người điều hành: