Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc tống tiền FLocker lây nhiễm smart TV
Dòng mã độc tống tiền FLocker từng lây nhiễm các thiết bị di động Android vừa có bước tiến mới, lây lan cả trên smart TV chạy hệ điều hành do Google cung cấp.
FLocker (Frantic Locker) xuất hiện từ tháng 5/2015 và theo thống kê của các chuyên gia, đã có tới hơn 7.000 phiên bản khác nhau.
Chỉ trong tháng 4/2016, các chuyên gia Trend Micro cho biết đã phát hiện hơn 1.200 biến thể của FLocker, cho thấy sự phát triển mạnh mẽ của mã độc.
Có vẻ như màn hình hiển thị đòi tiền chuộc của FLocker giống với của mã độc tống tiền Cyber.Police (Dogspectus). Vào tháng 4 – thời điểm FLocker phát triển mạnh, các chuyên gia cũng thông báo về mã độc Cyber.Police có khả năng lây nhiễm các thiết bị Android mà không cần bất kỳ sự tương tác nào từ phía người dùng.
FLocker ẩn náu 30 phút trên thiết bị sau khi lây nhiễm
Trong phiên bản mới nhất, FLocker được tin tặc phát tán thông qua spam SMS chứa các liên kết độc hại. Khi người dùng tải về ứng dụng độc hại từ các liên kết nói trên, mã độc sẽ ẩn náu trên thiết bị trong 30 phút. Để tránh các phần mềm AV, đoạn mã độc hại được giấu trong một tập tin HTML bên trong thư mục dữ liệu "Assets". Tập tin này che giấu một file DEX với các tiến trình độc hại.
Khi hết thời gian 30 phút, Flocker bắt đầu yêu cầu người dùng cung cấp quyền admin. Nếu người dùng từ chối, FLocker sẽ đóng băng màn hình bằng một thông báo cập nhật hệ thống giả mạo để đòi quyền truy cập.
Sau khi có được quyền admin, FLocker sẽ kết nối tới máy chủ C&C của tin tặc, từ đó tải một APK khác và thông báo tống tiền ở dạng tập tin HTML&JS.
Biến thể mới của FLocker nhắm tới các smart TV
FLocker hiển thị thông tin tiền chuộc trên toàn bộ màn hình và khởi chạy APK thứ hai mã hóa tập tin bằng khóa mã hóa AES đã được hardcode.
Trong khi các phiên bản trước của FLocker chỉ lây nhiễm trên các thiết bị di động thì phiên bản mới đây mã hóa dữ liệu trên smart TV chạy hệ điều hành Android.
Các phiên bản sử dụng hệ điều hành Android của di động và smart TV là khác nhau, do đó không phải toàn bộ mã độc Android đều có thể chạy trên cả hai thiết bị. Như vậy, rõ ràng tin tặc đã thêm tính năng mới cho mã độc.
FLocker không lây nhiễm tại các nước Đông Âu
FLocker yêu cầu người dùng trả tiền chuộc 200USD bằng thẻ quà tặng iTunes và không hoạt động trên các thiết bị tại các nước: Kazakhstan, Azerbaijan, Bulgaria, Georgia, Hungary, Ukraina, Nga, Armenia và Belarus.
Các chuyên gia khuyến cáo người dùng, nếu smart TV của họ bị lây nhiễm thì đầu tiên nên liên hệ với nhà cung cấp thiết bị để tìm giải pháp. Một cách khác để gỡ bỏ mã độc đó là kích hoạt ADB debugging. Người dùng có thể kết nối thiết bị với một máy tính, mở ADB shell và thực thi lệnh “PM clear %pkg%”. Việc này có thể hủy tiến trình mã độc và mở khóa màn hình. Người dùng cũng có thể bỏ kích hoạt quyền admin cấp cho ứng dụng và gỡ ứng dụng.
FLocker (Frantic Locker) xuất hiện từ tháng 5/2015 và theo thống kê của các chuyên gia, đã có tới hơn 7.000 phiên bản khác nhau.
Chỉ trong tháng 4/2016, các chuyên gia Trend Micro cho biết đã phát hiện hơn 1.200 biến thể của FLocker, cho thấy sự phát triển mạnh mẽ của mã độc.
Có vẻ như màn hình hiển thị đòi tiền chuộc của FLocker giống với của mã độc tống tiền Cyber.Police (Dogspectus). Vào tháng 4 – thời điểm FLocker phát triển mạnh, các chuyên gia cũng thông báo về mã độc Cyber.Police có khả năng lây nhiễm các thiết bị Android mà không cần bất kỳ sự tương tác nào từ phía người dùng.
FLocker ẩn náu 30 phút trên thiết bị sau khi lây nhiễm
Trong phiên bản mới nhất, FLocker được tin tặc phát tán thông qua spam SMS chứa các liên kết độc hại. Khi người dùng tải về ứng dụng độc hại từ các liên kết nói trên, mã độc sẽ ẩn náu trên thiết bị trong 30 phút. Để tránh các phần mềm AV, đoạn mã độc hại được giấu trong một tập tin HTML bên trong thư mục dữ liệu "Assets". Tập tin này che giấu một file DEX với các tiến trình độc hại.
Khi hết thời gian 30 phút, Flocker bắt đầu yêu cầu người dùng cung cấp quyền admin. Nếu người dùng từ chối, FLocker sẽ đóng băng màn hình bằng một thông báo cập nhật hệ thống giả mạo để đòi quyền truy cập.
Sau khi có được quyền admin, FLocker sẽ kết nối tới máy chủ C&C của tin tặc, từ đó tải một APK khác và thông báo tống tiền ở dạng tập tin HTML&JS.
Biến thể mới của FLocker nhắm tới các smart TV
FLocker hiển thị thông tin tiền chuộc trên toàn bộ màn hình và khởi chạy APK thứ hai mã hóa tập tin bằng khóa mã hóa AES đã được hardcode.
Trong khi các phiên bản trước của FLocker chỉ lây nhiễm trên các thiết bị di động thì phiên bản mới đây mã hóa dữ liệu trên smart TV chạy hệ điều hành Android.
Các phiên bản sử dụng hệ điều hành Android của di động và smart TV là khác nhau, do đó không phải toàn bộ mã độc Android đều có thể chạy trên cả hai thiết bị. Như vậy, rõ ràng tin tặc đã thêm tính năng mới cho mã độc.
FLocker không lây nhiễm tại các nước Đông Âu
FLocker yêu cầu người dùng trả tiền chuộc 200USD bằng thẻ quà tặng iTunes và không hoạt động trên các thiết bị tại các nước: Kazakhstan, Azerbaijan, Bulgaria, Georgia, Hungary, Ukraina, Nga, Armenia và Belarus.
Các chuyên gia khuyến cáo người dùng, nếu smart TV của họ bị lây nhiễm thì đầu tiên nên liên hệ với nhà cung cấp thiết bị để tìm giải pháp. Một cách khác để gỡ bỏ mã độc đó là kích hoạt ADB debugging. Người dùng có thể kết nối thiết bị với một máy tính, mở ADB shell và thực thi lệnh “PM clear %pkg%”. Việc này có thể hủy tiến trình mã độc và mở khóa màn hình. Người dùng cũng có thể bỏ kích hoạt quyền admin cấp cho ứng dụng và gỡ ứng dụng.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: