Gazon AmazonR – Spam quảng cáo qua ứng dụng giả mạo Amazon

Thảo luận trong 'Virus/Malware' bắt đầu bởi Malware, 09/09/15, 02:09 PM.

  1. Malware

    Malware Wh------

    Tham gia: 08/01/15, 11:01 AM
    Bài viết: 56
    Đã được thích: 38
    Điểm thành tích:
    48
    1.Giới thiệu
    Đây là mã độc có khả năng lây lan nhanh qua tin nhắn SMS với nội dung là 1 đoạn link ngắn dẫn đến 1 website để nhận quà của Amazon. Để nhận quà người dùng phải cài đặt 1 game có sẵn trên Google play hoặc điền thông tin khảo sát vào 1 mẫu đơn có sẵn.

    Cơchế tấn công:

    Mã độc này giả mạo ứng dụng Amazon. Khi người dùng cài đặt và khởi chạy lần đầu tiên, nó sẽ dẫn người dùng đến một trang web, tại đây sẽ có lời mời nhận quà của Amazon. Để nhận quà, hoặc là người dùng sẽ tải và cài đặt một game trên Google play hoặc là phải điền thông tin khảo sát vào mẫu có trước. Trong khi người dùng thực hiện các yêu cầu đó thì có 1 tiến trình ngầm thực hiện việc lấy thông tin liên lạc trong danh bạ và gửi tin nhắn rác đến tất cả các số trong danh bạ. Nội dung tin nhắn vẫn là mời click vào link để nhận quà. Cứ như vậy, tốc độ lây lan của mã độc này là cực kỳ nhanh vì những người được mời đều tin rằng đó là thật vì lời mời được gửi từ bạn của mình.

    2.Phân tích mẫu
    Thông tin mẫu:
    SHA256:986e026e9703dea366d3e673a29d6444c32a024615397475e39ab3f780cad0e6
    Công cụ: dex2jar, jdgui
    Sử dụng công cụ dex2jar để dịch ngược mẫu. Dùng jdgui để đọc mã Java bytecode. Nhấn Ctrl+Shift+S để tìm kiếm theo từ khóa.
    Đầu tiên ta tìm kiếm từ khóa onCreate để xem mã độc này thực hiện những gì khi được khởi chạy

    [​IMG]
    Hình1: Đoạn mã dẫn người dùng đến trang web giả mạo Amazon có chứa lời mời nhận quà.


    [​IMG]

    Hình2: Giao điện trang web có địa chỉ 188.122.91.51

    Nếu người dùng tiếp tục click vào nút “Take the Survey!”thì sẽ được dẫn tới một trang cài đặt game hoặc đó chỉ là quảng cáo tính tiền bằng click.

    [​IMG]

    Hình3: Đoạn mã dẫn người dùng đến trang cài đặt game của Google Play


    [​IMG]

    Hình4: Trang cài đặt game được hiển thị sau khi người dùng click vào “Take the Survey!”

    Trong khi người dùng loay hoay click thì có một tiến trình ngầm gửi tin nhắn rác với lời mời tương tự đến tất cả bạn bè trong danh bạ của nạn nhân.

    [​IMG]
    Hình5: Đoạn mã thực hiện gửi tin nhắn rác tới tất cảbạn bè trong danh bạ của nạn nhân

    Nội dung chính của tin nhắn là “Iam sending you $200 Amazon Gift Card You can Claim it here :https://bit.ly/getAmazonReward”

    3.Kết luận
    Đây là mã độc giả mạo Amazon để thực hiện quảng cáo cho một thương hiệu hoặc ứng dụng game nào đó. Ứng dụng này lây lan hàng loạt qua tin nhắn SMS.

    4.Biện pháp phòng tránh
    Thận trọng với những tin nhắn rác có link đính kèm. Không cài ứng dụng không rõ nguồn gốc. Nếu cài rồi mà phát hiện ứng dụng không đúng như những gì mong muốn thì phải gỡ ngay.

    Các trình Antivirus trên thị trường đã chặn được mã độckiểu này.
     
    Last edited by a moderator: 09/09/15, 02:09 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan