WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Thêm mã độc đào tiền ảo đang lây lan nhanh chóng trên Android
Do sự tăng giá của tiền mã hóa, kẻ xấu ngày càng nhắm mục tiêu vào mọi nền tảng, bao gồm IoT, Android và Windows, với mã độc lợi dụng sức mạnh CPU của các thiết bị để khai thác tiền mã hóa.
Trong tháng trước, các nhà nghiên cứu của Kaspersky đã phát hiện ra các phần mềm diệt virus giả mạo và các ứng dụng Android khiêu dâm bị nhiễm mã độc đào tiền Monero, tấn công DDoS, và thực hiện một số tác vụ độc hại khác, khiến pin của điện thoại phồng ra.
Tháng này, các nhà nghiên cứu tại Qihoo 360 Netlab của Trung Quốc đã phát hiện một loại mã độc Android mới, có tên ADB.Miner, quét các địa chỉ IP trên phạm vi rộng để tìm kiếm các thiết bị tồn tại lỗ hổng, tiến hành lây nhiễm và đào tiền mã hóa.
Theo các nhà nghiên cứu, ADB.Miner là mã độc Android đầu tiên sử dụng lại mã quét được lập trình trong Mirai - mã độc nổi tiếng lây nhiễm thiết bị IoT. ADB.Miner quét các thiết bị Android - bao gồm điện thoại thông minh, TV thông minh và hộp set-top TV - với giao diện gỡ lỗi ADB có thể truy cập công cộng chạy trên cổng 5555 và sau đó lây nhiễm chúng bằng một mã độc đào tiền mã hóa Monero cho các nhà điều hành đứng sau nó.
Cầu gỡ lỗi Android (ADB) là một công cụ dòng lệnh giúp các nhà phát triển gỡ lỗi mã Android trên trình mô phỏng và cấp quyền truy cập vào một số tính năng nhạy cảm nhất của hệ điều hành.
Hầu như tất cả thiết bị Android đều mặc định vô hiệu hóa cổng ADB, do đó, botnet sẽ chỉ nhắm mục tiêu đến những thiết bị đã được cấu hình để kích hoạt cổng 5555.
Bên cạnh việc khai thác tiền mã hóa Monero, ADB.Miner trên một thiết bị bị lây nhiễm cũng cố gắng tự phát tán bằng cách quét các mục tiêu khác trên Internet.
Các nhà nghiên cứu không tiết lộ chính xác bằng cách nào hoặc khai thác lỗ hổng ADB nào tin tặc có thể cài đặt mã độc trên thiết bị Android.
Tuy nhiên, các nhà nghiên cứu tin rằng tin tặc không khai thác bất kỳ lỗ hổng nào nhắm tới bất kỳ nhà cung cấp thiết bị cụ thể vì họ phát hiện thiết bị bị ảnh hưởng từ nhiều nhà sản xuất khác nhau.
Theo các nhà nghiên cứu, việc lây nhiễm bắt đầu vào ngày 21/1, và số lượng các cuộc tấn công đã tăng lên gần đây. Ngày 4/2, các nhà nghiên cứu phát hiện 7.400 địa chỉ IP sử dụng mã đào tiền mã hóa Monero - nghĩa là hơn 5.000 thiết bị bị ảnh hưởng chỉ trong 24 giờ.
Dựa trên các địa chỉ IP, các nhà nghiên cứu ước tính số lượng thiết bị bị lây nhiễm cao nhất là ở Trung Quốc (40%) và Hàn Quốc (31%).
Để chống lại mã độc này, người dùng Android không nên cài đặt các ứng dụng không cần thiết và không đáng tin cậy từ cửa hàng ứng dụng, ngay cả từ Google Play Store và giữ thiết bị của mình sau tường lửa hoặc VPN.
Trong tháng trước, các nhà nghiên cứu của Kaspersky đã phát hiện ra các phần mềm diệt virus giả mạo và các ứng dụng Android khiêu dâm bị nhiễm mã độc đào tiền Monero, tấn công DDoS, và thực hiện một số tác vụ độc hại khác, khiến pin của điện thoại phồng ra.
Tháng này, các nhà nghiên cứu tại Qihoo 360 Netlab của Trung Quốc đã phát hiện một loại mã độc Android mới, có tên ADB.Miner, quét các địa chỉ IP trên phạm vi rộng để tìm kiếm các thiết bị tồn tại lỗ hổng, tiến hành lây nhiễm và đào tiền mã hóa.
Theo các nhà nghiên cứu, ADB.Miner là mã độc Android đầu tiên sử dụng lại mã quét được lập trình trong Mirai - mã độc nổi tiếng lây nhiễm thiết bị IoT. ADB.Miner quét các thiết bị Android - bao gồm điện thoại thông minh, TV thông minh và hộp set-top TV - với giao diện gỡ lỗi ADB có thể truy cập công cộng chạy trên cổng 5555 và sau đó lây nhiễm chúng bằng một mã độc đào tiền mã hóa Monero cho các nhà điều hành đứng sau nó.
Cầu gỡ lỗi Android (ADB) là một công cụ dòng lệnh giúp các nhà phát triển gỡ lỗi mã Android trên trình mô phỏng và cấp quyền truy cập vào một số tính năng nhạy cảm nhất của hệ điều hành.
Hầu như tất cả thiết bị Android đều mặc định vô hiệu hóa cổng ADB, do đó, botnet sẽ chỉ nhắm mục tiêu đến những thiết bị đã được cấu hình để kích hoạt cổng 5555.
Bên cạnh việc khai thác tiền mã hóa Monero, ADB.Miner trên một thiết bị bị lây nhiễm cũng cố gắng tự phát tán bằng cách quét các mục tiêu khác trên Internet.
Các nhà nghiên cứu không tiết lộ chính xác bằng cách nào hoặc khai thác lỗ hổng ADB nào tin tặc có thể cài đặt mã độc trên thiết bị Android.
Tuy nhiên, các nhà nghiên cứu tin rằng tin tặc không khai thác bất kỳ lỗ hổng nào nhắm tới bất kỳ nhà cung cấp thiết bị cụ thể vì họ phát hiện thiết bị bị ảnh hưởng từ nhiều nhà sản xuất khác nhau.
Theo các nhà nghiên cứu, việc lây nhiễm bắt đầu vào ngày 21/1, và số lượng các cuộc tấn công đã tăng lên gần đây. Ngày 4/2, các nhà nghiên cứu phát hiện 7.400 địa chỉ IP sử dụng mã đào tiền mã hóa Monero - nghĩa là hơn 5.000 thiết bị bị ảnh hưởng chỉ trong 24 giờ.
Dựa trên các địa chỉ IP, các nhà nghiên cứu ước tính số lượng thiết bị bị lây nhiễm cao nhất là ở Trung Quốc (40%) và Hàn Quốc (31%).
Để chống lại mã độc này, người dùng Android không nên cài đặt các ứng dụng không cần thiết và không đáng tin cậy từ cửa hàng ứng dụng, ngay cả từ Google Play Store và giữ thiết bị của mình sau tường lửa hoặc VPN.
Theo The Hacker News