WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Mã độc MilkyDoor biến điện thoại thành backdoor di động
(Nhipsongso) Trend Micro vừa đưa ra cảnh báo về một mã độc mới có thể biến thiết bị di động sử dụng hệ điều hành Android thành các “backdoor di động” cho phép hacker truy cập vào bất cứ mạng nào mà người dùng bị nhiễm độc kết nối vào.
Mã độc này được phát hiện trên Android có tên là MilkyDoor. Về bản chất, các điện thoại, máy tính bảng Android bị nhiễm sẽ hoạt động như các proxy server giúp các server điều khiển (C&C server) kết nối với các thiết bị khác trong mạng qua giao thức Socket Secure (SOCKS), từ đó cho phép kẻ xấu tiếp cận vào dữ liệu.
Theo CyberSecurity, báo cáo của Trend Micro cho biết họ phát hiện ra mã độc trên tồn tại trong khoảng 200 ứng dụng Android, mỗi ứng dụng đã được cài đặt từ 500,000 đến 1 triệu lần trên Google Play. Những ứng dụng này là sách thiếu nhi, ứng dụng vẽ, hướng dẫn thời trang và những ứng dụng giải trí khác. Trend Mirco nói “Chúng tôi phỏng đoán rằng những ứng dụng hợp pháp này đã bị tội phạm mạng đóng gói lại và gắn mã độc sau đó tái xuất bản trên Google Play” và Google đã xóa những ứng dụng này sau khi TrendMicro thông báo riêng cho họ.
Loại mã độc này đặc biệt nguy hiểm với các doanh nghiệp bởi nó được xây dựng nhằm tấn công mạng nội bộ của các công ty, tấn công các máy chủ riêng và dữ liệu trên đó. Mã độc cho phép đối thủ xâm nhập vào được các web dịch vụ của doanh nghiệp, truy cập được vào FTP và SMTP, đồng thời có thể quét được địa chỉ IP nội bộ nhằm tìm ra những máy chủ dễ bị tấn công.
Trend Micro phát hiện ra mã độc Android mang tên MilkyDoor trong 200 ứng dụng Android, mỗi ứng dụng đã được cài đặt đâu đó 500,000 đến một triệu lần trên Google Play
Về mặt kỹ thuật thì mã độc MilkyDoor cùng họ với dòng mã độc DressCode, cả hai đều dựa vào giao thức SOCKS để kết nối từ điện thoại vào mạng. Tuy nhiên, Trend Micro cho rằng MilkyDoor tinh vi và nguy hiểm hơn vì mã độc này dùng SSH nên những hành vi của nó bị trộn lẫn vào các lưu lượng mạng “sạch”. Do SSH dùng port 22 nên các hệ thống tường lửa thường sẽ không chặn lưu lượng qua cổng này. Hơn nữa, các quản trị mạng cũng sẽ không phát hiện ra được việc giao tiếp với các C&C server do dữ liệu qua SSH đã được mã hóa và không bị bật cờ đỏ.
Các ứng dụng bị nhiễm độc cũng không gây ra nghi ngờ với chủ điện thoại, bởi chúng hoạt động hoàn hảo và không yêu cầu thêm quyền gì khác thường (ví dụ như yêu cầu truy cập mạng).
Trend Micro cho rằng phiên bản mới nhất của mã độc này đã được tung ra từ tháng 8 năm ngoái, MilkyDoor có thể đã được dùng để tạo ra lưu lượng ảo và kiếm được tiền qua các chiến dịch click gian lận.
Để bảo vệ các doanh nghiệp trước mối nguy hiểm này, TrendMicro đề nghị người dùng phải cảnh giác trước các ứng dụng đáng ngờ và luôn cập nhật hệ điều hành. Đồng thời, các quản trị mạng cũng nên giám sát chặt và hạn chế quyền của nhân viên dùng thiết bị di động kết nối vào hệ thống công ty, ngoài ra cần xây dựng tiến trình vá lỗi hữu hiệu.
Mã độc này được phát hiện trên Android có tên là MilkyDoor. Về bản chất, các điện thoại, máy tính bảng Android bị nhiễm sẽ hoạt động như các proxy server giúp các server điều khiển (C&C server) kết nối với các thiết bị khác trong mạng qua giao thức Socket Secure (SOCKS), từ đó cho phép kẻ xấu tiếp cận vào dữ liệu.
Theo CyberSecurity, báo cáo của Trend Micro cho biết họ phát hiện ra mã độc trên tồn tại trong khoảng 200 ứng dụng Android, mỗi ứng dụng đã được cài đặt từ 500,000 đến 1 triệu lần trên Google Play. Những ứng dụng này là sách thiếu nhi, ứng dụng vẽ, hướng dẫn thời trang và những ứng dụng giải trí khác. Trend Mirco nói “Chúng tôi phỏng đoán rằng những ứng dụng hợp pháp này đã bị tội phạm mạng đóng gói lại và gắn mã độc sau đó tái xuất bản trên Google Play” và Google đã xóa những ứng dụng này sau khi TrendMicro thông báo riêng cho họ.
Loại mã độc này đặc biệt nguy hiểm với các doanh nghiệp bởi nó được xây dựng nhằm tấn công mạng nội bộ của các công ty, tấn công các máy chủ riêng và dữ liệu trên đó. Mã độc cho phép đối thủ xâm nhập vào được các web dịch vụ của doanh nghiệp, truy cập được vào FTP và SMTP, đồng thời có thể quét được địa chỉ IP nội bộ nhằm tìm ra những máy chủ dễ bị tấn công.
Trend Micro phát hiện ra mã độc Android mang tên MilkyDoor trong 200 ứng dụng Android, mỗi ứng dụng đã được cài đặt đâu đó 500,000 đến một triệu lần trên Google Play
Về mặt kỹ thuật thì mã độc MilkyDoor cùng họ với dòng mã độc DressCode, cả hai đều dựa vào giao thức SOCKS để kết nối từ điện thoại vào mạng. Tuy nhiên, Trend Micro cho rằng MilkyDoor tinh vi và nguy hiểm hơn vì mã độc này dùng SSH nên những hành vi của nó bị trộn lẫn vào các lưu lượng mạng “sạch”. Do SSH dùng port 22 nên các hệ thống tường lửa thường sẽ không chặn lưu lượng qua cổng này. Hơn nữa, các quản trị mạng cũng sẽ không phát hiện ra được việc giao tiếp với các C&C server do dữ liệu qua SSH đã được mã hóa và không bị bật cờ đỏ.
Các ứng dụng bị nhiễm độc cũng không gây ra nghi ngờ với chủ điện thoại, bởi chúng hoạt động hoàn hảo và không yêu cầu thêm quyền gì khác thường (ví dụ như yêu cầu truy cập mạng).
Trend Micro cho rằng phiên bản mới nhất của mã độc này đã được tung ra từ tháng 8 năm ngoái, MilkyDoor có thể đã được dùng để tạo ra lưu lượng ảo và kiếm được tiền qua các chiến dịch click gian lận.
Để bảo vệ các doanh nghiệp trước mối nguy hiểm này, TrendMicro đề nghị người dùng phải cảnh giác trước các ứng dụng đáng ngờ và luôn cập nhật hệ điều hành. Đồng thời, các quản trị mạng cũng nên giám sát chặt và hạn chế quyền của nhân viên dùng thiết bị di động kết nối vào hệ thống công ty, ngoài ra cần xây dựng tiến trình vá lỗi hữu hiệu.
Theo Nhip song so