WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc Godless bí mật root thiết bị Android, cài đặt chương trình độc hại
Mới được phát hiện, Godless là dòng mã độc ảnh hưởng điện thoại và máy tính bảng Android bằng cách sử dụng các bộ công cụ khai thác nâng quyền root để giành quyền truy cập quản lý thiết bị.
Trend Micro cho biết mã độc được phát tán qua nhiều phương pháp, từ nhiều nơi bao gồm cả Play Store của Google.
Godless được gói trong nhiều ứng dụng khác nhau và khi được phép thực thi, mã độc sẽ tải về bộ công cụ nâng quyền root Android từ GitHub, vốn là một tập hợp các mã khai thác nguồn mở hoặc rò rỉ để root thiết bị Android.
Godless có thể root chín trong mười thiết bị Android
Theo Trend Micro, Godless có thể root tất cả các phiên bản Android, từ Android Lollipop (5.1) trở về trước. Dựa trên danh mục mã khai thác mà Godless sở hữu, về mặt lý thuyết, mã độc này có thể root 90% thiết bị Android hiện nay.
Mã khai thác mạnh nhất được tìm thấy trong bộ sưu tập công cụ hack của Godless là CVE-2015-3636 (mã khai thác PingPongRoot) và CVE-2014-3153 (mã khai thác Towelroot).
Khi Godless được thực thi và hoàn thành quá trình tải các bộ công cụ khai thác nâng quyền root. Mã độc sẽ tạm dừng quá trình thực thi mã độc cho đến khi màn hình của người dùng bị tắt.
Godless sẽ tải về thiết bị Android các ứng dụng không mong muốn
Sau khi giành quyền root, Godless sẽ giao tiếp với một máy chủ C&C để lấy danh sách các ứng dụng cần cài đặt trên thiết bị đã được root.
Trong các phiên bản trước, Godless thường tải về bản sao của các ứng dụng chính thức trên Google Play Store để thu thập thông tin Google của người dùng.
Với những thông tin này, Godless sẽ tải về và cài đặt các ứng dụng khác bằng cách sử dụng ứng dụng Google Play Store hợp pháp.
Ước tính, Godless đã lây nhiễm 850.000 nạn nhân trên toàn thế giới. Trong đó, hầu hết người dùng đều ở Ấn Độ (46,19%), tiếp theo là Indonesia (10,27%), Thái Lan (9,47%) và Việt Nam (2.12%).
Bkav khuyến cáo trước khi cài một ứng dụng, người dùng cần xem xét kĩ các quyền mà ứng dụng đó yêu cầu. Người dùng không nên cài ứng dụng nếu có những quyền không liên quan tới chức năng của ứng dụng đó vì đây có thể là lỗ hổng để mã độc xâm nhập vào thiết bị của bạn.
Theo Softpedia, Bkav
Trend Micro cho biết mã độc được phát tán qua nhiều phương pháp, từ nhiều nơi bao gồm cả Play Store của Google.
Godless được gói trong nhiều ứng dụng khác nhau và khi được phép thực thi, mã độc sẽ tải về bộ công cụ nâng quyền root Android từ GitHub, vốn là một tập hợp các mã khai thác nguồn mở hoặc rò rỉ để root thiết bị Android.
Godless có thể root chín trong mười thiết bị Android
Theo Trend Micro, Godless có thể root tất cả các phiên bản Android, từ Android Lollipop (5.1) trở về trước. Dựa trên danh mục mã khai thác mà Godless sở hữu, về mặt lý thuyết, mã độc này có thể root 90% thiết bị Android hiện nay.
Mã khai thác mạnh nhất được tìm thấy trong bộ sưu tập công cụ hack của Godless là CVE-2015-3636 (mã khai thác PingPongRoot) và CVE-2014-3153 (mã khai thác Towelroot).
Khi Godless được thực thi và hoàn thành quá trình tải các bộ công cụ khai thác nâng quyền root. Mã độc sẽ tạm dừng quá trình thực thi mã độc cho đến khi màn hình của người dùng bị tắt.
Godless sẽ tải về thiết bị Android các ứng dụng không mong muốn
Sau khi giành quyền root, Godless sẽ giao tiếp với một máy chủ C&C để lấy danh sách các ứng dụng cần cài đặt trên thiết bị đã được root.
Trong các phiên bản trước, Godless thường tải về bản sao của các ứng dụng chính thức trên Google Play Store để thu thập thông tin Google của người dùng.
Với những thông tin này, Godless sẽ tải về và cài đặt các ứng dụng khác bằng cách sử dụng ứng dụng Google Play Store hợp pháp.
Ước tính, Godless đã lây nhiễm 850.000 nạn nhân trên toàn thế giới. Trong đó, hầu hết người dùng đều ở Ấn Độ (46,19%), tiếp theo là Indonesia (10,27%), Thái Lan (9,47%) và Việt Nam (2.12%).
Bkav khuyến cáo trước khi cài một ứng dụng, người dùng cần xem xét kĩ các quyền mà ứng dụng đó yêu cầu. Người dùng không nên cài ứng dụng nếu có những quyền không liên quan tới chức năng của ứng dụng đó vì đây có thể là lỗ hổng để mã độc xâm nhập vào thiết bị của bạn.
Theo Softpedia, Bkav
Chỉnh sửa lần cuối bởi người điều hành: