WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Phát hiện mã độc tống tiền khóa PIN thiết bị Android
Các nhà nghiên cứu vừa phát hiện ra mã độc tống tiền khóa PIN thiết bị Android đầu tiên nhắm vào người dùng di động ở Bắc Mỹ.
LockerPIN thiết lập hoặc thay đổi khóa PIN của thiết bị, khóa màn hình và yêu cầu khoản tiền chuộc 500$. Tuy nhiên, ngay cả khi nạn nhân trả tiền, tin tặc cũng không thể mở khóa thiết bị vì mã PIN được thiết lập ngẫu nhiên, các nhà nghiên cứu ở Eset cho biết.
Tin tức này được đăng tải chỉ vài ngày sau khi các nhà nghiên cứu phát hiện ứng dụng Android độc hại Adult Player bí mật chụp ảnh người dùng bằng camera trước của smartphone, khóa thiết bị và yêu cầu tiền chuộc.
LockerPIN phát tán qua các kho ứng dụng của bên thứ ba không rõ nguồn gốc, các diễn đàn về ware và các torrent. Theo thống kê của Eset, 75% thiết bị Android bị lây nhiễm đều ở Mỹ.
“Những kẻ viết mã độc tấn công thiết bị Android đang chuyển hướng mục tiêu từ người dùng ở Nga và Ukraina tới người dùng ở Mỹ để có thể kiếm lợi nhiều hơn”, kỹ sư Lukas Stefanko của Eset cho biết.
Sau khi cài đặt thành công, mã độc cố gắng có được quyền quản trị trên thiết bị bằng cách chèn cửa sổ của chính nó lên tin nhắn hệ thống, giả mạo là một cập nhật.
Khi nạn nhân click vào cài đặt có vẻ vô hại này, họ không biết rằng đã kích hoạt quyền quản trị trên thiết bị cho mã độc.
Theo Eset, thủ thuật này đang ngày càng phổ biến với những kẻ tấn công thiết bị Android, vì có được quyền quản trị trên thiết bị sẽ khiến việc gỡ bỏ lây nhiễm khó khăn hơn.
Thậm chí nếu Trojan được gỡ bõ, thì đối với những thiết bị không được bảo vệ bởi một hệ thống an ninh, việc thay đổi mã PIN không hề đơn giản.
Sự phát triển của mã độc tống tiền
Cách duy nhất để thay đổi PIN là thực hiện factory reset (reset toàn bộ - đưa thiết bị về trạng thái khi xuất xưởng) – đồng nghĩa với việc sẽ mất tất cả dữ liệu trên thiết bị.
Các nhà nghiên cứu cho biết điều này cho thấy sự phát triển của mã độc tống tiền di động vì, trong các Trojan khóa màn hình thiết bị Android trước đây, tính năng khóa màn hình thường có được bằng cách đưa cửa sổ đòi tiền chuộc đến vị trí nổi bật trong một vòng lặp vô hạn.
Dù có rất nhiều cơ chế tự vệ được thực hiện để ngăn người dùng truy cập thiết bị, các nhà nghiên cứu cho rằng không quá khó để loại bỏ mã độc, mở khóa thiết bị bằng cách sử dụng Android Debug Bridge (ADB) hoặc ngừng kích hoạt quyền quản trị và gỡ bỏ ứng dụng độc hại trong Safe Mode.
LockerPIN không chỉ có được quyền quản trị trên thiết bị bằng một cách mới và bí mật, mà nó còn sử dụng cơ chế tự vệ linh hoạt để giữ được các quyền đó.
Người dùng không thể ngừng kích hoạt quyền quản trị trên thiết bị của mã độc vì mã độc đã đăng ký chức năng call-back để kích hoạt lại đặc quyền đó khi người dùng cố gắng gỡ bỏ, các nhà nghiên cứu cho biết.
Nếu gỡ bỏ được mã độc, cửa sổ quản trị trên thiết bị sẽ bị chèn lên bằng một cửa sổ giả lừa nạn nhân click vào nút tái kích hoạt đặc quyền leo thang của mã độc.
Là một lớp tự bảo vệ bổ sung, mã độc tống tiền cũng cố gắng tiêu diệt việc thực thi các ứng dụng diệt virus khi người dùng cố gắng ngừng kích hoạt quyền quản trị của nó.
LockerPIN thiết lập hoặc thay đổi khóa PIN của thiết bị, khóa màn hình và yêu cầu khoản tiền chuộc 500$. Tuy nhiên, ngay cả khi nạn nhân trả tiền, tin tặc cũng không thể mở khóa thiết bị vì mã PIN được thiết lập ngẫu nhiên, các nhà nghiên cứu ở Eset cho biết.
Tin tức này được đăng tải chỉ vài ngày sau khi các nhà nghiên cứu phát hiện ứng dụng Android độc hại Adult Player bí mật chụp ảnh người dùng bằng camera trước của smartphone, khóa thiết bị và yêu cầu tiền chuộc.
LockerPIN phát tán qua các kho ứng dụng của bên thứ ba không rõ nguồn gốc, các diễn đàn về ware và các torrent. Theo thống kê của Eset, 75% thiết bị Android bị lây nhiễm đều ở Mỹ.
“Những kẻ viết mã độc tấn công thiết bị Android đang chuyển hướng mục tiêu từ người dùng ở Nga và Ukraina tới người dùng ở Mỹ để có thể kiếm lợi nhiều hơn”, kỹ sư Lukas Stefanko của Eset cho biết.
Sau khi cài đặt thành công, mã độc cố gắng có được quyền quản trị trên thiết bị bằng cách chèn cửa sổ của chính nó lên tin nhắn hệ thống, giả mạo là một cập nhật.
Khi nạn nhân click vào cài đặt có vẻ vô hại này, họ không biết rằng đã kích hoạt quyền quản trị trên thiết bị cho mã độc.
Theo Eset, thủ thuật này đang ngày càng phổ biến với những kẻ tấn công thiết bị Android, vì có được quyền quản trị trên thiết bị sẽ khiến việc gỡ bỏ lây nhiễm khó khăn hơn.
Thậm chí nếu Trojan được gỡ bõ, thì đối với những thiết bị không được bảo vệ bởi một hệ thống an ninh, việc thay đổi mã PIN không hề đơn giản.
Sự phát triển của mã độc tống tiền
Cách duy nhất để thay đổi PIN là thực hiện factory reset (reset toàn bộ - đưa thiết bị về trạng thái khi xuất xưởng) – đồng nghĩa với việc sẽ mất tất cả dữ liệu trên thiết bị.
Các nhà nghiên cứu cho biết điều này cho thấy sự phát triển của mã độc tống tiền di động vì, trong các Trojan khóa màn hình thiết bị Android trước đây, tính năng khóa màn hình thường có được bằng cách đưa cửa sổ đòi tiền chuộc đến vị trí nổi bật trong một vòng lặp vô hạn.
Dù có rất nhiều cơ chế tự vệ được thực hiện để ngăn người dùng truy cập thiết bị, các nhà nghiên cứu cho rằng không quá khó để loại bỏ mã độc, mở khóa thiết bị bằng cách sử dụng Android Debug Bridge (ADB) hoặc ngừng kích hoạt quyền quản trị và gỡ bỏ ứng dụng độc hại trong Safe Mode.
LockerPIN không chỉ có được quyền quản trị trên thiết bị bằng một cách mới và bí mật, mà nó còn sử dụng cơ chế tự vệ linh hoạt để giữ được các quyền đó.
Người dùng không thể ngừng kích hoạt quyền quản trị trên thiết bị của mã độc vì mã độc đã đăng ký chức năng call-back để kích hoạt lại đặc quyền đó khi người dùng cố gắng gỡ bỏ, các nhà nghiên cứu cho biết.
Nếu gỡ bỏ được mã độc, cửa sổ quản trị trên thiết bị sẽ bị chèn lên bằng một cửa sổ giả lừa nạn nhân click vào nút tái kích hoạt đặc quyền leo thang của mã độc.
Là một lớp tự bảo vệ bổ sung, mã độc tống tiền cũng cố gắng tiêu diệt việc thực thi các ứng dụng diệt virus khi người dùng cố gắng ngừng kích hoạt quyền quản trị của nó.
Nguồn: Computer Weekly
Chỉnh sửa lần cuối bởi người điều hành: