WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Phát hiện malware Android đầu tiên có thể chèn mã độc vào thư viện hệ thống
(Theo Vnreview) Malware (phần mềm độc hại) trên Android vừa đạt tới một mức độ nguy hiểm mới khi có thể chèn mã độc vào thư hiện hệ thống. Từ đó, cho phép hacker có thể lấy được quyền kiểm soát thiết bị mà không bị Google phát hiện.
Theo trang công nghệ Android Authority, các chuyên gia tại hãng bảo mật Kaspersky đã phát hiện ra Dvmap, tên của một loại trojan phát tán thông qua một số ứng dụng trên cửa hàng Google Play. Dvmap đã tồn tại trong nhiều tháng qua và tổng số lượt tải của những ứng dụng chứa malware này đã lên tới con số 50.000.
Điểm đáng chú ý trên Dvmap là nó có khả năng chèn mã độc vào thư viện hệ thống của thiết bị. Cụ thể, khi đã được cài đặt, Dvmap sẽ giành quyền root thiết bị và cố gắng làm điều này một cách bí mật để không bị phát hiện.
Tiếp theo, malware này sẽ bắt đầu khởi chạy một tập tin để kiểm tra và quyết định xem sẽ tấn công vào thư viện hệ thống nào trong thiết bị. Cuối cùng, Dvmap sẽ chèn mã độc vào thư viện hệ thống được xác định, từ đó cho phép vô hiệu hóa tính năng bảo mật Verify Apps mà không bị Google phát hiện.
Dường như mục đích của Dvmap là cho phép hacker có thể cài đặt các ứng dụng tới từ cửa hàng của bên thứ 3 (tức là không phải Google Play) trên thiết bị của người dùng. Kaspersky cũng cho biết Dvmap còn được dùng cho mục đích quảng cáo và cài đặt một số tập tin không xác định từ một máy chủ từ xa.
Việc đưa malware Dvmap lên cửa hàng Google Play cũng được ghi nhận là khá tính vi. Đầu tiên, hacker sẽ tải lên một ứng dụng "sạch", tức là không hề có malware lên Google Play. Tuy nhiên, hacker sau đósẽ âm thầm đưa Dvmap vào ứng dụng trong một số bản cập nhật và nhanh chóng thay thế lại bằng một phiên bản "sạch" chỉ trong một thời gian ngắn sau.
Ngoài ra, khi chiếm được quyền root thành công, Dvmap sẽ liên tục báo cáo cho một máy chủ để đợi lệnh, mặc dù không hề được hồi âm. Điều này khiến các chuyên gia của Kaspersky cho rằng malware này vẫn chưa được hoàn thiện đầy đủ.
"Khả năng chèn mã độc là một sự phát triển nguy hiểm của malware trên thiết bị di động", một chuyên gia của Kaspersky cho biết, "Do cách tiếp cận này có thể được sử dụng để cài đặt các module độc hại kể cả khi quyền root đã bị xóa, bất kỳ giải pháp bảo mật và ứng dụng ngân hàng nào với các tính năng nhận diện root được cài đặt sau khi bị lây nhiễm sẽ không thể phát hiện ra sự hiện diện của malware".
Kaspersky đã phát hiện ra Dvmap lần đầu tiên vào tháng 4/2017 và báo cáo cho Google. Những ứng dụng có chứa Dvmap đều đã nhanh chóng bị Google xóa ngay sau đó. Trong trường hợp nghi ngờ bị nhiễm malware từ một ứng dụng khả nghi trong thời gian gần đây, các chuyên gia Kaspersky khuyên bạn nên sao lưu và khôi phục cài đặt gốc trên thiết bị ngay lập tức.
Theo trang công nghệ Android Authority, các chuyên gia tại hãng bảo mật Kaspersky đã phát hiện ra Dvmap, tên của một loại trojan phát tán thông qua một số ứng dụng trên cửa hàng Google Play. Dvmap đã tồn tại trong nhiều tháng qua và tổng số lượt tải của những ứng dụng chứa malware này đã lên tới con số 50.000.
Điểm đáng chú ý trên Dvmap là nó có khả năng chèn mã độc vào thư viện hệ thống của thiết bị. Cụ thể, khi đã được cài đặt, Dvmap sẽ giành quyền root thiết bị và cố gắng làm điều này một cách bí mật để không bị phát hiện.
Tiếp theo, malware này sẽ bắt đầu khởi chạy một tập tin để kiểm tra và quyết định xem sẽ tấn công vào thư viện hệ thống nào trong thiết bị. Cuối cùng, Dvmap sẽ chèn mã độc vào thư viện hệ thống được xác định, từ đó cho phép vô hiệu hóa tính năng bảo mật Verify Apps mà không bị Google phát hiện.
Dường như mục đích của Dvmap là cho phép hacker có thể cài đặt các ứng dụng tới từ cửa hàng của bên thứ 3 (tức là không phải Google Play) trên thiết bị của người dùng. Kaspersky cũng cho biết Dvmap còn được dùng cho mục đích quảng cáo và cài đặt một số tập tin không xác định từ một máy chủ từ xa.
Việc đưa malware Dvmap lên cửa hàng Google Play cũng được ghi nhận là khá tính vi. Đầu tiên, hacker sẽ tải lên một ứng dụng "sạch", tức là không hề có malware lên Google Play. Tuy nhiên, hacker sau đósẽ âm thầm đưa Dvmap vào ứng dụng trong một số bản cập nhật và nhanh chóng thay thế lại bằng một phiên bản "sạch" chỉ trong một thời gian ngắn sau.
Ngoài ra, khi chiếm được quyền root thành công, Dvmap sẽ liên tục báo cáo cho một máy chủ để đợi lệnh, mặc dù không hề được hồi âm. Điều này khiến các chuyên gia của Kaspersky cho rằng malware này vẫn chưa được hoàn thiện đầy đủ.
"Khả năng chèn mã độc là một sự phát triển nguy hiểm của malware trên thiết bị di động", một chuyên gia của Kaspersky cho biết, "Do cách tiếp cận này có thể được sử dụng để cài đặt các module độc hại kể cả khi quyền root đã bị xóa, bất kỳ giải pháp bảo mật và ứng dụng ngân hàng nào với các tính năng nhận diện root được cài đặt sau khi bị lây nhiễm sẽ không thể phát hiện ra sự hiện diện của malware".
Kaspersky đã phát hiện ra Dvmap lần đầu tiên vào tháng 4/2017 và báo cáo cho Google. Những ứng dụng có chứa Dvmap đều đã nhanh chóng bị Google xóa ngay sau đó. Trong trường hợp nghi ngờ bị nhiễm malware từ một ứng dụng khả nghi trong thời gian gần đây, các chuyên gia Kaspersky khuyên bạn nên sao lưu và khôi phục cài đặt gốc trên thiết bị ngay lập tức.
Theo Vnreview
Chỉnh sửa lần cuối: