WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Ransomware "Lockdroid" có thể khóa điện thoại thông minh, xóa sạch dữ liệu
Các nhà nghiên cứu vừa đưa ra cảnh báo về một loại ransomware Android mới, có khả năng khóa thiết bị, thay đổi mã PIN, thậm chí xóa sạch dữ liệu người dùng bằng cách đưa thiết bị về chế độ xuất xưởng.
Được gọi là "Lockdroid" (Android.Lockdroid.E), mã độc mới bị phát hiện lừa người dùng cung cấp quyền quản trị thiết bị. Ngay sau khi giành được quyền này, mã độc có thể mã hóa tập tin người dùng và thực hiện các hành vi độc khác.
Symantec giải thích, mã độc giả dạng một ứng dụng cho phép xem nội dung người lớn và sử dụng các kỹ thuật phức tạp để giành quyền quản trị. Sau khi cài đặt, mã độc hiển thị một cửa sổ giả "Package Installation (Cài đặt trọn gói)" lừa người dùng kích hoạt mã độc đó như một quản trị, cho phép thực hiện hành vi tống tiền.
Chương trình độc hại không chỉ có khả năng mã hóa các tập tin, khóa thiết bị và thực hiện reset máy, mà còn ngăn người dùng gỡ bỏ cài đặt qua giao diện người dùng (UI) hoặc giao diện dòng lệnh.
Để hiển thị hộp thoại Package Installation giả, Lockdroid sử dụng cửa sổ TYPE_SYSTEM_ERROR, hiển thị trên tầng cao nhất của màn hình, che giấu việc gửi truy vấn đến quản trị viên yêu cầu API. Để loại bỏ nghi ngờ, sau khi người dùng nhấp chuột vào nút "Tiếp tục" trên cửa sổ giả, mã độc sẽ hiển thị hộp thoại giả "Unpacking the components (Giải nén các thành phần)".
Sau ít phút chờ đợi mà không làm bất cứ điều gì, mã độc sẽ hiển thị hộp thoại cuối cùng "Installation is Complete (Hoàn thành cài đặt)", là bước giành đặc quyền nâng cao trên hệ thống. Vì thế, mã độc sử dụng cửa sổ TYPE_SYSTEM_OVERLAY được tải lên đầu hộp thoại kích hoạt quyền quản lý thiết bị, lừa thành công người dùng kích hoạt quyền quản trị cho mã độc.
Theo Symantec, tội phạm mạng có thể lợi dụng kỹ thuật clickjacking để thực hiện các hành vi độc hại khác. Quản lý quyền root, công cụ tìm kiếm trên hệ thống các ứng dụng cố gắng nâng cao đặc quyền root (bằng truy vấn "su"), hiển thị một hộp thoại xin quyền thay mặt ứng dụng trước khi cho phép tiếp tục, và mã độc có thể lạm dụng điều này vào các mục đích bất chính.
Google đã cải thiện an ninh của Android trong phiên bản 5.0 Lollipop bằng cách ngăn các loại hộp thoại nói trên hiển thị trên hộp thoại cho phép của hệ thống, có nghĩa là kỹ thuật clickjacking chỉ có thể được sử dụng trên các thiết bị chạy hệ điều hành trước Android 5.0. Tuy nhiên, điều đó cũng có nghĩa là khoảng hai phần ba thiết bị Android hiện nay đứng trước nguy cơ bị kỹ thuật này tấn công.
Tuy nhiên, ứng dụng vi phạm, được gọi là porn 'O' Mania, không được phân phối thông qua Google Play, nhưng có thể được tìm thấy trong các kho của bên thứ ba, các diễn đàn và các trang web torrent. Symantec giải thích rằng người dùng có cài Google Play được bảo vệ ngay cả khi họ tải ứng dụng từ các nguồn bên ngoài về, nhờ có tùy chọn Verify Apps trong phần Security của menu Settings.
Để đảm bảo được bảo vệ đầy đủ, người dùng nên tải về và cài đặt các ứng dụng từ kho ứng dụng đáng tin cậy. Hơn nữa, người dùng cần cài đặt và kích hoạt chương trình an ninh trên thiết bị và đảm bảo rằng thiết bị và các ứng dụng cài bản cập nhật nhất.
Nguồn: SecurityWeek
Được gọi là "Lockdroid" (Android.Lockdroid.E), mã độc mới bị phát hiện lừa người dùng cung cấp quyền quản trị thiết bị. Ngay sau khi giành được quyền này, mã độc có thể mã hóa tập tin người dùng và thực hiện các hành vi độc khác.
Symantec giải thích, mã độc giả dạng một ứng dụng cho phép xem nội dung người lớn và sử dụng các kỹ thuật phức tạp để giành quyền quản trị. Sau khi cài đặt, mã độc hiển thị một cửa sổ giả "Package Installation (Cài đặt trọn gói)" lừa người dùng kích hoạt mã độc đó như một quản trị, cho phép thực hiện hành vi tống tiền.
Chương trình độc hại không chỉ có khả năng mã hóa các tập tin, khóa thiết bị và thực hiện reset máy, mà còn ngăn người dùng gỡ bỏ cài đặt qua giao diện người dùng (UI) hoặc giao diện dòng lệnh.
Để hiển thị hộp thoại Package Installation giả, Lockdroid sử dụng cửa sổ TYPE_SYSTEM_ERROR, hiển thị trên tầng cao nhất của màn hình, che giấu việc gửi truy vấn đến quản trị viên yêu cầu API. Để loại bỏ nghi ngờ, sau khi người dùng nhấp chuột vào nút "Tiếp tục" trên cửa sổ giả, mã độc sẽ hiển thị hộp thoại giả "Unpacking the components (Giải nén các thành phần)".
Sau ít phút chờ đợi mà không làm bất cứ điều gì, mã độc sẽ hiển thị hộp thoại cuối cùng "Installation is Complete (Hoàn thành cài đặt)", là bước giành đặc quyền nâng cao trên hệ thống. Vì thế, mã độc sử dụng cửa sổ TYPE_SYSTEM_OVERLAY được tải lên đầu hộp thoại kích hoạt quyền quản lý thiết bị, lừa thành công người dùng kích hoạt quyền quản trị cho mã độc.
Theo Symantec, tội phạm mạng có thể lợi dụng kỹ thuật clickjacking để thực hiện các hành vi độc hại khác. Quản lý quyền root, công cụ tìm kiếm trên hệ thống các ứng dụng cố gắng nâng cao đặc quyền root (bằng truy vấn "su"), hiển thị một hộp thoại xin quyền thay mặt ứng dụng trước khi cho phép tiếp tục, và mã độc có thể lạm dụng điều này vào các mục đích bất chính.
Google đã cải thiện an ninh của Android trong phiên bản 5.0 Lollipop bằng cách ngăn các loại hộp thoại nói trên hiển thị trên hộp thoại cho phép của hệ thống, có nghĩa là kỹ thuật clickjacking chỉ có thể được sử dụng trên các thiết bị chạy hệ điều hành trước Android 5.0. Tuy nhiên, điều đó cũng có nghĩa là khoảng hai phần ba thiết bị Android hiện nay đứng trước nguy cơ bị kỹ thuật này tấn công.
Tuy nhiên, ứng dụng vi phạm, được gọi là porn 'O' Mania, không được phân phối thông qua Google Play, nhưng có thể được tìm thấy trong các kho của bên thứ ba, các diễn đàn và các trang web torrent. Symantec giải thích rằng người dùng có cài Google Play được bảo vệ ngay cả khi họ tải ứng dụng từ các nguồn bên ngoài về, nhờ có tùy chọn Verify Apps trong phần Security của menu Settings.
Để đảm bảo được bảo vệ đầy đủ, người dùng nên tải về và cài đặt các ứng dụng từ kho ứng dụng đáng tin cậy. Hơn nữa, người dùng cần cài đặt và kích hoạt chương trình an ninh trên thiết bị và đảm bảo rằng thiết bị và các ứng dụng cài bản cập nhật nhất.
Nguồn: SecurityWeek