Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc Mazar BOT có thể xóa hoàn toàn dữ liệu trên thiết bị Android
Mã độc Android mới Mazar BOT đang làm dậy sóng thời gian gần đây với khả năng chiếm quyền truy cập root và xóa toàn bộ dữ liệu được lưu trữ trên thiết bị người dùng.
Mã độc Mazar BOT nguy hiểm với nhiều tính năng ẩn có thể biến smartphone của người dùng thành một zombie trong botnet của tin tặc. Các chuyên gia Heimdal đã phát hiện ra mã độc khi phân tích một tin nhắn SMS được gửi tới số điện thoại ngẫu nhiên.
Cách thức Mazar BOT hoạt động
Trong khi các mã độc Android khác phát tán thông qua lừa người dùng cài đặt một app từ kho ứng dụng của bên thứ 3, Mazar lại lây lan qua tin nhắn SMS hoặc MMS chứa đường dẫn tới một tập tin APK độc hại (tập tin ứng dụng Android).
Một khi click vào đường dẫn trong tin nhắn, người dùng sẽ tải về thiết bị một tập tin APK. Để chạy tập tin, người dùng được yêu cầu cài đặt một ứng dụng mới. Ứng dụng này có tên MMS Messaging, yêu cầu mức quyền admin. Hầu hết người dùng đồng ý mức quyền này cho ứng dụng bởi cái tên khá “thông thường” của nó.
Điều gì khiến Mazar BOT trở nên nguy hiểm
Một khi chiếm được quyền truy cập vào thiết bị của nạn nhân, Mazar BOT có thể thực hiện nhiều thao tác như:
Bên cạnh các thao tác trên, Mazar BOT có thể tải về thiết bị Android một ứng dụng truy cập nặc danh TOR và cài đặt, thậm chí không cần đến sự cho phép hay đồng ý của người dùng. Sử dụng ứng dụng TOR, mã độc có thể truy cập web nặc danh thông qua mạng TOR.
Một khi cài đặt TOR trên thiết bị nạn nhân, Mazar BOT gửi đi tin nhắn “Thank you” tới một số điện thoại Iran (9876543210), cùng với vị trí của thiết bị.
Trong một vài trường hợp, Mazar BOT cũng cài đặt ứng dụng Android có tên gọi Polipo Proxy có chức năng thiết lập một proxy trên thiết bị, cho phép tác giả mã độc theo dõi lưu lượng web của nạn nhân và tiến hành tấn công Man-in-the-Middle.
Kẻ đứng sau mã độc là ai?
Mazar BOT được cho là phát tán bởi nhóm tin tặc đặt tại Nga. Luận cứ đầu tiên cho nhận định này đó là Mazar BOT không thể được cài đặt trên thiết bị Android tại Nga. Mã nguồn của mã độc có cả hướng dẫn cách thức chặn tiến trình cài dặt mã độc trên thiết thiết bị được cấu hình bằng tiếng Nga.
Một luận chứng khác, đó là tại Nga có một luật ngầm nếu tin tặc không tấn công người dùng Nga, chính quyền Nga sẽ không can thiệp, xử lý. Ngoài ra, cũng chưa có bằng chứng nào cho thấy chiến dịch Mazar BOT ảnh hướng đến bất cứ người dùng Nga nào.
Đến thời điểm hiện tại, Mazar BOT trên Android đã được quảng cáo, rao bán trên một số chợ ngầm tại Nga (Dark Web), nhưng đây là lần đầu tiên đoạn mã này được sử dụng trong cuộc tấn công.
Làm thế nào để bảo vệ thiết bị khỏi Mazar BOT
Có một số biện pháp bảo vệ mà người dùng nên sử dụng để không bị ảnh hưởng bởi mã độc Mazar BOT:
Mã độc Mazar BOT nguy hiểm với nhiều tính năng ẩn có thể biến smartphone của người dùng thành một zombie trong botnet của tin tặc. Các chuyên gia Heimdal đã phát hiện ra mã độc khi phân tích một tin nhắn SMS được gửi tới số điện thoại ngẫu nhiên.
Cách thức Mazar BOT hoạt động
Trong khi các mã độc Android khác phát tán thông qua lừa người dùng cài đặt một app từ kho ứng dụng của bên thứ 3, Mazar lại lây lan qua tin nhắn SMS hoặc MMS chứa đường dẫn tới một tập tin APK độc hại (tập tin ứng dụng Android).
Một khi click vào đường dẫn trong tin nhắn, người dùng sẽ tải về thiết bị một tập tin APK. Để chạy tập tin, người dùng được yêu cầu cài đặt một ứng dụng mới. Ứng dụng này có tên MMS Messaging, yêu cầu mức quyền admin. Hầu hết người dùng đồng ý mức quyền này cho ứng dụng bởi cái tên khá “thông thường” của nó.
Điều gì khiến Mazar BOT trở nên nguy hiểm
Một khi chiếm được quyền truy cập vào thiết bị của nạn nhân, Mazar BOT có thể thực hiện nhiều thao tác như:
- Chiếm quyền boot để tồn tại trong thiết bị ngay cả khi thiết bị được khởi động lại
- Gửi và đọc tin nhắn SMS
- Thực hiện cuộc gọi đến những người trong danh bạ
- Đọc tình trạng điện thoại
- Làm nhiễu loạn các key điều khiển trên thiết bị
- Lây nhiễm trình duyệt Chrome
- Thay đổi thiết lập điện thoại
- Buộc điện thoại chuyển sang chế độ sleep
- Truy cập Internet
- Xóa dữ liệu lưu trữ trên thiết bị (đây là khả năng “khủng khiếp” nhất của mã độc)
Bên cạnh các thao tác trên, Mazar BOT có thể tải về thiết bị Android một ứng dụng truy cập nặc danh TOR và cài đặt, thậm chí không cần đến sự cho phép hay đồng ý của người dùng. Sử dụng ứng dụng TOR, mã độc có thể truy cập web nặc danh thông qua mạng TOR.
Một khi cài đặt TOR trên thiết bị nạn nhân, Mazar BOT gửi đi tin nhắn “Thank you” tới một số điện thoại Iran (9876543210), cùng với vị trí của thiết bị.
Trong một vài trường hợp, Mazar BOT cũng cài đặt ứng dụng Android có tên gọi Polipo Proxy có chức năng thiết lập một proxy trên thiết bị, cho phép tác giả mã độc theo dõi lưu lượng web của nạn nhân và tiến hành tấn công Man-in-the-Middle.
Kẻ đứng sau mã độc là ai?
Mazar BOT được cho là phát tán bởi nhóm tin tặc đặt tại Nga. Luận cứ đầu tiên cho nhận định này đó là Mazar BOT không thể được cài đặt trên thiết bị Android tại Nga. Mã nguồn của mã độc có cả hướng dẫn cách thức chặn tiến trình cài dặt mã độc trên thiết thiết bị được cấu hình bằng tiếng Nga.
Một luận chứng khác, đó là tại Nga có một luật ngầm nếu tin tặc không tấn công người dùng Nga, chính quyền Nga sẽ không can thiệp, xử lý. Ngoài ra, cũng chưa có bằng chứng nào cho thấy chiến dịch Mazar BOT ảnh hướng đến bất cứ người dùng Nga nào.
Đến thời điểm hiện tại, Mazar BOT trên Android đã được quảng cáo, rao bán trên một số chợ ngầm tại Nga (Dark Web), nhưng đây là lần đầu tiên đoạn mã này được sử dụng trong cuộc tấn công.
Làm thế nào để bảo vệ thiết bị khỏi Mazar BOT
Có một số biện pháp bảo vệ mà người dùng nên sử dụng để không bị ảnh hưởng bởi mã độc Mazar BOT:
- Không bao giờ click vào được link trong SMS hoặc MMS được gửi đến điện thoại của bạn.
- Vào Settings à Security à chọn OFF cho tùy chọn “Cho phép cài đặt ứng dụng từ các nguồn khác ngoài Play Store”.
- Không dùng những WiFi không rõ nguồn gốc, không an toàn và tắt WiFi khi không sử dụng.
Nguồn: The Hacker News