Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc tống tiền nhắm tới các thiết bị Android phiên bản cũ
Các chuyên gia vừa phát hiện chiến dịch phát tán mã độc tống tiền trên di động mà không cần đến bất cứ sự tương tác nào từ phía người dùng để lây nhiễm mã độc vào thiết bị.
Việc lây nhiễm diễn ra khi người dùng truy cập một trang web chứa quảng cáo độc hại (malvertising). Theo các chuyên gia, đoạn mã JavaScript tin tặc sử dụng chứa exploit được biết đến từ năm ngoái trong vụ xâm nhập dữ liệu Hacking Team.
Mã độc quảng cáo nhắm tới các thiết bị Android
Exploit khai thác lỗ hổng trong thư viện Androi libxslt, cho phép tin tặc tải về đoạn mã nhị phân Linux ELF có tên module.so trên thiết bị.
Đoạn mã sử dụng exploit Towelroot Android để root đặc quyền trên thiết bị. Một khi đã root thành công, module.so sẽ tải thêm một APK Android chứa đoạn code của mã độc tống tiền.
Với truy cập root đã có được, tin tặc có thể âm thầm cài đặt mã độc tống tiền mà không cần bất kỳ sự cho phép nào của người dùng.
Mã độc tống tiền chủ yếu nhắm tới các thiết bị Android phiên bản cũ hơn
Tên của mã độc tống tiền là Cyber.Police và lần đầu được phát hiện vào tháng 12/2014. Nếu như mã độc tống tiền trên desktop mã hóa file, thì Cyber.Police chỉ khóa màn hình của người dùng và yêu cầu họ mua các thẻ tặng iTunes của Apple, với giá trị mỗi thẻ là 100$.
Ngay cả khi Apple có thể theo dấu các thẻ tặng iTunes thì những thẻ này vẫn có thể được sử dụng như tiền ảo trên chợ đen và được trao đổi qua lại hàng năm trời giữa một số người trước khi được sử dụng.
Các chuyên gia cho biết các nạn nhân lây nhiễm mã độc sẽ gửi lưu lượng không được mã hóa từ thiết bị của họ tới máy chủ C&C. Hãng an ninh Blue Coat Labs đã theo dõi được lưu lượng đến từ 224 mẫu thiết bị Android (tablet, smartphone), sử dụng các phiên bản Android từ 4.0.3 tới 4.4.4.
Phiên bản được hỗ trợ chính thức cũ nhất của Android hiện là 4.4.4, điều này có nghĩa tin tặc đang nhắm tới những người dùng không hoặc không thể cập nhật bản mới cho thiết bị.
“Việc một số thiết bị không bị lây nhiễm exploit Hacking Team libxlst đồng nghĩa với các exploit khác có thể đã được tin tặc sử dụng để lây nhiễm các thiết bị di động”, chuyên gia Blue Coat cho biết.
Cách thức loại bỏ Cyber.Police
Các chuyên gia khuyến cáo, trong trường hợp phát hiện bị lây nhiễm mã độc tống tiền Cyber.Police, người dùng có thể reset thiết bị về cấu hình cài đặt gốc. Trước khi reset, người dùng nên kết nối thiết bị tới máy tính để sao lưu dữ liệu cá nhân.
Việc cập nhật phiên bản Android mới hơn không có ích gì, bởi Cyber.Police đã cài đặt trong ứng dụng thông thường, mà các bản cập nhật của Android sẽ giữ nguyên những ứng dụng này trong quá trình nâng cấp.
Việc lây nhiễm diễn ra khi người dùng truy cập một trang web chứa quảng cáo độc hại (malvertising). Theo các chuyên gia, đoạn mã JavaScript tin tặc sử dụng chứa exploit được biết đến từ năm ngoái trong vụ xâm nhập dữ liệu Hacking Team.
Mã độc quảng cáo nhắm tới các thiết bị Android
Exploit khai thác lỗ hổng trong thư viện Androi libxslt, cho phép tin tặc tải về đoạn mã nhị phân Linux ELF có tên module.so trên thiết bị.
Đoạn mã sử dụng exploit Towelroot Android để root đặc quyền trên thiết bị. Một khi đã root thành công, module.so sẽ tải thêm một APK Android chứa đoạn code của mã độc tống tiền.
Với truy cập root đã có được, tin tặc có thể âm thầm cài đặt mã độc tống tiền mà không cần bất kỳ sự cho phép nào của người dùng.
Mã độc tống tiền chủ yếu nhắm tới các thiết bị Android phiên bản cũ hơn
Tên của mã độc tống tiền là Cyber.Police và lần đầu được phát hiện vào tháng 12/2014. Nếu như mã độc tống tiền trên desktop mã hóa file, thì Cyber.Police chỉ khóa màn hình của người dùng và yêu cầu họ mua các thẻ tặng iTunes của Apple, với giá trị mỗi thẻ là 100$.
Ngay cả khi Apple có thể theo dấu các thẻ tặng iTunes thì những thẻ này vẫn có thể được sử dụng như tiền ảo trên chợ đen và được trao đổi qua lại hàng năm trời giữa một số người trước khi được sử dụng.
Các chuyên gia cho biết các nạn nhân lây nhiễm mã độc sẽ gửi lưu lượng không được mã hóa từ thiết bị của họ tới máy chủ C&C. Hãng an ninh Blue Coat Labs đã theo dõi được lưu lượng đến từ 224 mẫu thiết bị Android (tablet, smartphone), sử dụng các phiên bản Android từ 4.0.3 tới 4.4.4.
Phiên bản được hỗ trợ chính thức cũ nhất của Android hiện là 4.4.4, điều này có nghĩa tin tặc đang nhắm tới những người dùng không hoặc không thể cập nhật bản mới cho thiết bị.
“Việc một số thiết bị không bị lây nhiễm exploit Hacking Team libxlst đồng nghĩa với các exploit khác có thể đã được tin tặc sử dụng để lây nhiễm các thiết bị di động”, chuyên gia Blue Coat cho biết.
Cách thức loại bỏ Cyber.Police
Các chuyên gia khuyến cáo, trong trường hợp phát hiện bị lây nhiễm mã độc tống tiền Cyber.Police, người dùng có thể reset thiết bị về cấu hình cài đặt gốc. Trước khi reset, người dùng nên kết nối thiết bị tới máy tính để sao lưu dữ liệu cá nhân.
Việc cập nhật phiên bản Android mới hơn không có ích gì, bởi Cyber.Police đã cài đặt trong ứng dụng thông thường, mà các bản cập nhật của Android sẽ giữ nguyên những ứng dụng này trong quá trình nâng cấp.
Nguồn: Softpedia