Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Phát hiện biến thể mới nguy hiểm hơn của trojan Triada và Horde
Các chuyên gia vừa phát hiện hai biến thể mới của mã độc Triada và Horde trên thiết bị di động. Theo đó, các biến thể này áp dụng các kỹ thuật mới nguy hiểm, bao gồm cả khả năng vượt qua cơ chế an ninh của Google trên một số phiên bản hệ điều hành.
Trojan Trianda trên Android hiện đã có khả năng lây nhiễm vào trình duyệt mặc định của Android và 3 trình duyệt khác bao gồm 360Secure, Cheatah, và Oupeng của hệ điều hành này. Sau khi lây nhiễm, những kẻ tấn công có thể can thiệp vào các truy vấn URL của trình duyệt. Kế đến, nếu người dùng truy cập một trong những URL nằm trong danh sách của Triada, mã độc sẽ hiển thị một trang giả mạo được thiết kế nhằm đánh cắp các dữ liệu tài chính cá nhân.
Cho đến thời điểm hiện tại, chức năng chính của Triada vẫn là đánh cắp thông tin tài chính thông qua tin nhắn SMS - một thành phần trong mua hàng trực tuyến thông qua ứng dụng. Tuy nhiên, bằng việc tích hợp những đường dẫn giả mạo, mã độc Trianda trên Android có thể can thiệp vào bất kỳ URL nào đã được lây nhiễm trên thiết bị. Từ đó, mã độc lừa người dùng nhập thông tin tín dụng vào trang giả mạo, thậm chí là tải thêm các phần mềm độc hại khác mà người dùng không hề hay biết, chuyên gia Oren Koriat cho biết.
Các chuyên gia lý giải việc phát tán thành công Triada trên thiết bị Android thông qua lây nhiễm vào lõi của tiến trình Zygote hệ điều hành Android và chiếm quyền quản trị. Tiếp đến, Triada sử dụng các công cụ tìm và phát hiện lỗi Linux phổ biến để chèn một file DLL đã bị lây nhiễm và 1 trong 4 trình duyệt mục tiêu.
Ngoài Triada, Check Point cũng cập nhật thông tin về Horde - mã độc “nổi tiếng” lây nhiễm các ứng dụng trên Google Play và bí mật biến các điện thoại chạy hệ điều hành Android trở thành mạng botnet di động. Mã độc Horde chủ yếu lây nhiễm các trò chơi và các tiện ích có mặt trên Google Play như Viking Jump, Parrot Copter, Memory Booster, Simple 2048 và WiFi Plus.
Các chuyên gia cũng cho biết biến thể mới nhất của Horde sử dụng kỹ thuật mới để tránh bị các chương trình AV phát hiện và cũng có khả năng theo dõi các tiến trình đang chạy trên Android Lollipop và Marshmallow.
Một trong những kỹ thuật được tin tặc sử dụng là chờ đến khi người dùng sử dụng các ứng dụng thanh toán hoặc các ứng dụng ngân hàng. Khi đó, tin tặc có thể tạo ra một trang giả mạo để thu thập thông tin cá nhân hoặc các dữ liệu tài chính do người dùng nhập vào. Các nhà nghiên cứu cũng cảnh báo: mã độc Horde cũng được sử dụng để khai thác điện thoại của nạn nhân cho các mánh khóe gian lận quảng cáo, thực hiện các cuộc tấn công DDoS và gửi thư rác.
Trojan Trianda trên Android hiện đã có khả năng lây nhiễm vào trình duyệt mặc định của Android và 3 trình duyệt khác bao gồm 360Secure, Cheatah, và Oupeng của hệ điều hành này. Sau khi lây nhiễm, những kẻ tấn công có thể can thiệp vào các truy vấn URL của trình duyệt. Kế đến, nếu người dùng truy cập một trong những URL nằm trong danh sách của Triada, mã độc sẽ hiển thị một trang giả mạo được thiết kế nhằm đánh cắp các dữ liệu tài chính cá nhân.
Cho đến thời điểm hiện tại, chức năng chính của Triada vẫn là đánh cắp thông tin tài chính thông qua tin nhắn SMS - một thành phần trong mua hàng trực tuyến thông qua ứng dụng. Tuy nhiên, bằng việc tích hợp những đường dẫn giả mạo, mã độc Trianda trên Android có thể can thiệp vào bất kỳ URL nào đã được lây nhiễm trên thiết bị. Từ đó, mã độc lừa người dùng nhập thông tin tín dụng vào trang giả mạo, thậm chí là tải thêm các phần mềm độc hại khác mà người dùng không hề hay biết, chuyên gia Oren Koriat cho biết.
Các chuyên gia lý giải việc phát tán thành công Triada trên thiết bị Android thông qua lây nhiễm vào lõi của tiến trình Zygote hệ điều hành Android và chiếm quyền quản trị. Tiếp đến, Triada sử dụng các công cụ tìm và phát hiện lỗi Linux phổ biến để chèn một file DLL đã bị lây nhiễm và 1 trong 4 trình duyệt mục tiêu.
Ngoài Triada, Check Point cũng cập nhật thông tin về Horde - mã độc “nổi tiếng” lây nhiễm các ứng dụng trên Google Play và bí mật biến các điện thoại chạy hệ điều hành Android trở thành mạng botnet di động. Mã độc Horde chủ yếu lây nhiễm các trò chơi và các tiện ích có mặt trên Google Play như Viking Jump, Parrot Copter, Memory Booster, Simple 2048 và WiFi Plus.
Các chuyên gia cũng cho biết biến thể mới nhất của Horde sử dụng kỹ thuật mới để tránh bị các chương trình AV phát hiện và cũng có khả năng theo dõi các tiến trình đang chạy trên Android Lollipop và Marshmallow.
Một trong những kỹ thuật được tin tặc sử dụng là chờ đến khi người dùng sử dụng các ứng dụng thanh toán hoặc các ứng dụng ngân hàng. Khi đó, tin tặc có thể tạo ra một trang giả mạo để thu thập thông tin cá nhân hoặc các dữ liệu tài chính do người dùng nhập vào. Các nhà nghiên cứu cũng cảnh báo: mã độc Horde cũng được sử dụng để khai thác điện thoại của nạn nhân cho các mánh khóe gian lận quảng cáo, thực hiện các cuộc tấn công DDoS và gửi thư rác.
Nguồn: Threat Post