Mã độc Android vô hiệu hóa wifi để đăng ký các dịch vụ trả phí
Microsoft cảnh báo mã độc gian lận cước phí là mối đe dọa đang phổ biến trên Android. Nó phát triển các tính năng cho phép đăng ký các dịch vụ có trả phí.
Gian lận thu phí là một phần của gian lận thanh toán. Kẻ đe dọa sẽ lừa nạn nhân gọi điện, nhắn tin đến các số đặc biệt. Sự khác biệt là gian lận thu phí không hoạt động qua WiFi và buộc các thiết bị phải kết nối với mạng của nhà khai thác di động.
Gian lận thu phí hoạt động trên giao thức Wireless Application Protocol (WAP), cho phép người dùng đăng ký các dịch vụ trả phí và phí sẽ được thêm vào hóa đơn điện thoại của họ. Điều này yêu cầu kết nối qua mạng di động và người dùng click nút đăng ký, một số dịch vụ gửi thêm OTP để xác nhận lại đó là lựa chọn của họ.
Mã độc thực hiện tất cả điều này tự động bằng cách bắt đầu đăng ký, chặn OTP và ngăn chặn các thông báo có thể cảnh báo đến người dùng.
Microsoft đã xác định một số bước xảy ra mà người dùng hoàn toàn không biết:
Bước quan trọng nhất là vô hiệu hóa wifi, buộc sử dụng mạng của nhà cung cấp dịch vụ. Trên Android 9 phiên bản API 28 trở xuống điều này có thể thực hiện ở cấp độ quyền bảo vệ bình thường, phiên bản API cao hơn có hàm "requestNetwork" nằm dưới quyền CHANGE_NETWORK_STATE cũng có mức bảo vệ bình thường.
Microsoft đã cho thấy điều này trong mã nguồn của mã độc Joker.
Sau đó, mã độc sử dụng hàm NetworkCallbak để theo dõi lấy các loại mạng cụ thể, buộc thiết bị bỏ qua wifi để sử dụng mạng của nhà cung cấp dịch vụ. Để tránh rủi ro, người dùng có thể vô hiệu hóa dữ liệu di động theo cách thủ công.
Nếu nhà cung cấp dịch vụ di động của nạn nhân nằm trong mục tiêu, mã độc sẽ tìm các trang web và cố gắng đăng ký một cách tự động. Theo Microsoft: "Để mã độc tự động đăng ký, nó sẽ tải trang và chạy các đoạn mã Javascript được thiết kế để nhấp vào các phần tử HTML. Vì người dùng chỉ đăng ký dịch vụ 1 lần, mã độc cũng đánh dấu các trang web đăng ký bằng cookie để tránh đăng ký trùng lặp".
Microsoft cũng lưu ý đôi khi các dịch vụ có xác minh bổ sung, mã độc cũng có các phương án để thực hiện điều đó.
Một số nhà cung cấp dịch vụ chỉ kết thúc đăng ký khi xác thực lại qua các cách SMS, HTTP, USSD. Trong đó SMS và HTTP là các cách phổ biến. Mã độc đánh cắp SMS và việc phân tích gói tin HTTP để lấy các thông tin xác thực cũng không có gi đặc biệt.
Mã độc sử dụng 3 API để chặn SMS
Cách thức hoạt động
Microsoft đã chia sẻ cách hoạt động của mã độc và cũng như cách để ngăn chặn:Gian lận thu phí hoạt động trên giao thức Wireless Application Protocol (WAP), cho phép người dùng đăng ký các dịch vụ trả phí và phí sẽ được thêm vào hóa đơn điện thoại của họ. Điều này yêu cầu kết nối qua mạng di động và người dùng click nút đăng ký, một số dịch vụ gửi thêm OTP để xác nhận lại đó là lựa chọn của họ.
Mã độc thực hiện tất cả điều này tự động bằng cách bắt đầu đăng ký, chặn OTP và ngăn chặn các thông báo có thể cảnh báo đến người dùng.
Microsoft đã xác định một số bước xảy ra mà người dùng hoàn toàn không biết:
- Tắt kết nối wifi hoặc đợi người dùng chuyển sang mạng di động
- Chuyển hướng âm thầm đến các trang đăng ký
- Tự động click các nút đăng ký
- Chặn OTP (nếu có)
- Gửi OTP đến nhà cung cấp dịch vụ (nếu có)
- Hủy thông báo SMS (nếu có)
Tắt kết nối wifi
Mã độc bắt đầu thu thập về mạng di động và quốc gia của người dùng mà hệ điều hành Android không yêu cầu quyền của người dùng.Bước quan trọng nhất là vô hiệu hóa wifi, buộc sử dụng mạng của nhà cung cấp dịch vụ. Trên Android 9 phiên bản API 28 trở xuống điều này có thể thực hiện ở cấp độ quyền bảo vệ bình thường, phiên bản API cao hơn có hàm "requestNetwork" nằm dưới quyền CHANGE_NETWORK_STATE cũng có mức bảo vệ bình thường.
Microsoft đã cho thấy điều này trong mã nguồn của mã độc Joker.
Sau đó, mã độc sử dụng hàm NetworkCallbak để theo dõi lấy các loại mạng cụ thể, buộc thiết bị bỏ qua wifi để sử dụng mạng của nhà cung cấp dịch vụ. Để tránh rủi ro, người dùng có thể vô hiệu hóa dữ liệu di động theo cách thủ công.
Nếu nhà cung cấp dịch vụ di động của nạn nhân nằm trong mục tiêu, mã độc sẽ tìm các trang web và cố gắng đăng ký một cách tự động. Theo Microsoft: "Để mã độc tự động đăng ký, nó sẽ tải trang và chạy các đoạn mã Javascript được thiết kế để nhấp vào các phần tử HTML. Vì người dùng chỉ đăng ký dịch vụ 1 lần, mã độc cũng đánh dấu các trang web đăng ký bằng cookie để tránh đăng ký trùng lặp".
Microsoft cũng lưu ý đôi khi các dịch vụ có xác minh bổ sung, mã độc cũng có các phương án để thực hiện điều đó.
Một số nhà cung cấp dịch vụ chỉ kết thúc đăng ký khi xác thực lại qua các cách SMS, HTTP, USSD. Trong đó SMS và HTTP là các cách phổ biến. Mã độc đánh cắp SMS và việc phân tích gói tin HTTP để lấy các thông tin xác thực cũng không có gi đặc biệt.
Mã độc sử dụng 3 API để chặn SMS
- cancelAllNotifications(): Loại bỏ tất cả các thông báo
- cancelNotification(String key): Loại bỏ một thông báo
- cancelNotifications(String [] keys): Loại bỏ nhiều thông báo
Một số cách để ngăn chặn
- Hạn chế tải app ngoài nguồn Play Store
- Kiểm tra các quyền của App khi cài đặt
- Tránh cho phép các app có quyền truy cập đến SMS, các thông báo
Nguồn: BleepingComputer
Chỉnh sửa lần cuối bởi người điều hành: