Pokemon- Go: Hiểm họa khôn lường

Thảo luận trong 'Virus/Malware' bắt đầu bởi hph2015, 24/08/16, 05:08 PM.

  1. hph2015

    hph2015 W-------

    Tham gia: 16/07/16, 05:07 PM
    Bài viết: 14
    Đã được thích: 10
    Điểm thành tích:
    8
    Pokemon- Go đang là trò chơi hot nhất trên cộng động mạng hiện nay, mình thì không có hứng thú lắm nhưng cũng tò mò xem game này hay ho ở điểm nào mà lại làm dân tình điên đảo như vậy. Và tình cờ, cách đây không lâu mình có vớ được bài viết này:
    https://whitehat.vn/forum/thao...mon-go-gia-mao
    Nội dung của bài viết nói về mối nguy hiểm từ việc cài Pokemon- Go từ những nguồn không chính thống :D Sẵn dịp đang có hứng thú mày mò nên mình đã làm một số điều tra nhỏ xem thực hư về việc tồn tại mã độc trong các bản cài Pokemon- Go giả mạo là thế nào :D. Hôm nay xin được mạn phép đăng lên đây để anh chị em cũng nhau bình loạn và “chém gió” =)))



    Bước 1: Mình tải các file cài đặt game từ Google-play (nguồn chính thống) và các nguồn bên ngoài.
    [​IMG]
    Bước 2: Dựa vào checksum để tìm các file cài khả nghi

    1. Mình tiến hành tính checksum của file cài gốc (từ Google- Play)

    [​IMG]
    2. Để tất cả các file còn lại vào cùng thư mục và kiểm tra xem file nào có checksum khác với file tải từ Google-play.

    [​IMG]

    3. File pkm.apk có checksum khác với các file còn lại, trong khi tải về cùng phiên bản 0.29.0 => đã tìm thấy file khả nghi :D

    Bước 3: Dịch ngựơc 2 file rồi so xem thế nào??
    [​IMG]
    • Nhận thấy ở file tải từ third-party source có thêm 3 package là a, b và net.droidjack.server.
    Bước 4: Phân tích mã nguồn của file tải từ third-party source
    [​IMG]


    Trong class CallListener của package net.droidjack.server có các method
    • private void a(boolean z) : bật kết nối wifi.
    • private void b(boolean z) : bật kết nối dữ liệu di động.
    • protected void a(File file) : ghi âm từ micro và lưu vào file.
    • public void onReceive(Context context, Intent intent) : nghe điện thoại.
    [​IMG]
    • Và các method của class Controller:
    • private static void i() : đọc và ghi lại tin nhắn.
    • Sơ bộ thì app Pokemon-go được tải từ third-party source này được “khuyến mãi ” thêm một số chức năng ghi lén cực kì nguy hiểm, có thể là 1 con RAT
    • Có thể thấy các class được chèn thêm chứa các phương thức với chức năng chẳng khác nào một spyware thu thập thông tin trên máy nạn nhân, kết nối wifi và chờ cơ hội để gửi về cho máy chủ phát tán.
    [​IMG]


    Vào đường dẫn thu được ở trên, ta thấy trang chủ của droidjack, một trong những loại RAT nguy hiểm nhất trên Android.

    Khi máy bị nhiễm loại RAT này thì hacker đã hoàn toàn kiểm soát thiết bị, bật kết nối wifi, dữ liệu di động, ghi âm,quay phim, đọc tin nhắn, lịch sử duyệt web… Và gửi về C&C server.

    [​IMG]


    Ta có thể thấy rõ địa chỉ và cổng kết nối đến C&C server trong đoạn code phía trên.
    Kết luận: như vậy khi tải ứng dụng từ third-party sources, nguy cơ người dùng bị nhiễm mã độc là không hề nhỏ, những con RAT này một khi đã được cài vào thiết bị cá nhân sẽ dẫn đến các hậu quả khôn lường không chỉ đối với cá nhân người dùng mà nó còn có thể trở thành một hướng xâm nhập mới đối với toàn bộ hệ thống mạng mà thiết bị đó kết nối tới.

    Cảm ơn anh em đã quan tâm ^_^
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Math95

    Math95 W-------

    Tham gia: 25/03/16, 09:03 AM
    Bài viết: 47
    Đã được thích: 15
    Điểm thành tích:
    18
    1 bài phân tích hay, thank bác thớt,
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. kataroa

    kataroa W-------

    Tham gia: 25/08/16, 08:08 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Nói là thế thôi, chứ mấy bác mà tải cái này toàn có gì quan trọng bảo mật trong điện thoại đâu mà lo, cùng lắm có cái nick face là quan trọng nhất thôi =))=))=))
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,834
    Đã được thích: 862
    Điểm thành tích:
    113
    Nó không chỉ ảnh hưởng đến người chơi mà có thể cả bạn bè, người thân của nạn nhân đó.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. DiepNV88

    DiepNV88 VIP Members

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,571
    Đã được thích: 367
    Điểm thành tích:
    83
    Pokrmon Go đã vượt qua flappy bird.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,834
    Đã được thích: 862
    Điểm thành tích:
    113
    2 triết lý khác nhau mà anh,

    1 bên là kinh doanh, càng nghiện người ta càng cố đẩy mạnh để thu lợi nhuận.
    1 bên là vui, khi thấy người chơi có dấu hiệu nghiện đã hạ game xuống.

    Em thích anh Đông hơn.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. Theeye

    Theeye Wh------

    Tham gia: 23/10/14, 05:10 PM
    Bài viết: 64
    Đã được thích: 14
    Điểm thành tích:
    18
    Tác giả có thể thống kê luôn là nguồn nào không an toàn thì tiện quá, trước khi download mình có thể xem có trong blacklist không [-O
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. DiepNV88

    DiepNV88 VIP Members

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,571
    Đã được thích: 367
    Điểm thành tích:
    83
    Nguồn không an toàn thì nhiều thống kê cũng chả hết còn nguồn an toàn thì bạn nên google play để tải về nhớ đọc kỹ info của app để khỏi tải nhầm app fake là được. Thường bản chính thống sẽ có lượt download cao nhất và số sao đánh giá của người dùng cao.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 1,175
    Đã được thích: 762
    Điểm thành tích:
    113
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. anhhungxadieu999

    anhhungxadieu999 W-------

    Tham gia: 25/08/16, 10:08 AM
    Bài viết: 1
    Đã được thích: 2
    Điểm thành tích:
    3
    may mình tải game trên appstore lên không bị lo bị virut, mọi người nên cẩn thận chút
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. lochv37

    lochv37 W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 50
    Đã được thích: 29
    Điểm thành tích:
    18
    Bài viết rất chi tiết.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. hph2015

    hph2015 W-------

    Tham gia: 16/07/16, 05:07 PM
    Bài viết: 14
    Đã được thích: 10
    Điểm thành tích:
    8
    Cảm ơn mọi người đã ghé qua :D Bác DiepNV nói chuẩn đấy ạ! Để an toàn thì cứ vào App-Store và GooglePlay mà install thôi :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. kangpaper

    kangpaper W-------

    Tham gia: 25/08/16, 01:08 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Thớt nêu cách khắc phục khi đã cài đặt những app bên thứ 3 đc ko ?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. lochv37

    lochv37 W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 50
    Đã được thích: 29
    Điểm thành tích:
    18
    Bác nên gỡ ứng dụng nghi ngờ ra và dùng http://mobile.bkav.com.vn/index2.php?language=en để đựoc bảo vệ :))
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  15. hph2015

    hph2015 W-------

    Tham gia: 16/07/16, 05:07 PM
    Bài viết: 14
    Đã được thích: 10
    Điểm thành tích:
    8
    Các sản phẩm security trên mobile là cần thiết nếu phone của bạn đã lỡ "dính rồi" Bởi vì không ai biết được con RAT đó đã làm những gì trong thời gian trú ngụ :)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan