WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Trojan Android root thiết bị, đánh cắp ảnh và dữ liệu Chrome
Một dòng mã độc Android có tên Tordow (Trojan-Banker.AndroidOS.Tordow) đang nhắm mục tiêu vào người dùng, lây nhiễm điện thoại thông minh, root các thiết bị người dùng, sau đó ăn cắp thông tin nhạy cảm và tải lên thông tin lên máy chủ của hacker.
Các dấu hiệu nhận biết của dòng malware này xuất hiện từ tháng 2/2016 với các trường hợp lây nhiễm đầu tiên, chủ yếu là do người dùng tải ứng dụng Android từ kho ứng dụng của bên thứ ba không chính thức.
Tordow được phát tán qua các ứng dụng Android phổ biến giả mạo
Nhà phân tích Anton Kivva của Kaspersky Lab cho hay hầu hết các ứng dụng phát tán Tordow đều là bản nhái của các ứng dụng Android phổ biến như VKontakte, DrugVokrug, Pokemon Go, Telegram, Odnoklassniki, hay Subway Surf.
Kẻ xấu lấy các ứng dụng này, giải nén mã nguồn, chèn mã độc vào bên trong, sau đó đóng gói lại và tải ứng dụng giả mạo lên các kho ứng dụng của bên thứ ba.
Người dùng tải các ứng dụng giả mạo này đã vô tình kích hoạt mã độc bên trong ứng dụng khi khởi động chạy lần đầu tiên.
Kivva cho biết mã độc này thực sự là một loại downloader, kích hoạt các mã độc nguy hiểm hơn trên thiết bị của người dùng. Một phần của mã này là gói tin chứa mã khai thác giúp mã độc chiếm đặc quyền root trên thiết bị.
Tordow root thiết bị để đánh cắp dữ liệu nhạy cảm
Sau khi có quyền truy cập root, Tordow sẽ có được toàn quyền kiểm soát thiết bị. Nhà nghiên cứu cho hay ông tìm thấy các chức năng độc hại bên trong mã nguồn của trojan như khả năng đánh cắp danh bạ, thực hiện cuộc gọi điện thoại và gửi, đánh cắp, và xóa các tin nhắn SMS.
Ngoài ra, trojan cũng có thể tải về và chạy các tập tin trên thiết bị, cài đặt hoặc gỡ bỏ các ứng dụng, chặn truy cập đến một trang web cụ thể, đổi tên các tập tin trên điện thoại, tải tập tin từ điện thoại đến máy chủ trực tuyến, và khởi động lại điện thoại thông minh.
Savvy cho hay một trong những tập tin mà Tordow nhắm mục tiêu đánh cắp là cơ sở dữ liệu của trình duyệt Android và Chrome cho Android. Cơ sở dữ liệu này không chỉ chứa lịch sử duyệt web, mà còn cả mật khẩu của người dùng. Các file mục tiêu khác là hình ảnh của người dùng.
Không mới, không duy nhất
Tordow không phải là trojan Android đầu tiên được trang bị khả năng root, cũng không phải là trojan đầu tiên có thể đánh cắp hình ảnh và lịch sử duyệt web từ thiết bị của người dùng.
Các trojan Android khác cũng có thể root thiết bị là Godless, Ztorg, Libskin, Matrix, Rootnik và Shuanet.
Các dấu hiệu nhận biết của dòng malware này xuất hiện từ tháng 2/2016 với các trường hợp lây nhiễm đầu tiên, chủ yếu là do người dùng tải ứng dụng Android từ kho ứng dụng của bên thứ ba không chính thức.
Tordow được phát tán qua các ứng dụng Android phổ biến giả mạo
Nhà phân tích Anton Kivva của Kaspersky Lab cho hay hầu hết các ứng dụng phát tán Tordow đều là bản nhái của các ứng dụng Android phổ biến như VKontakte, DrugVokrug, Pokemon Go, Telegram, Odnoklassniki, hay Subway Surf.
Kẻ xấu lấy các ứng dụng này, giải nén mã nguồn, chèn mã độc vào bên trong, sau đó đóng gói lại và tải ứng dụng giả mạo lên các kho ứng dụng của bên thứ ba.
Người dùng tải các ứng dụng giả mạo này đã vô tình kích hoạt mã độc bên trong ứng dụng khi khởi động chạy lần đầu tiên.
Kivva cho biết mã độc này thực sự là một loại downloader, kích hoạt các mã độc nguy hiểm hơn trên thiết bị của người dùng. Một phần của mã này là gói tin chứa mã khai thác giúp mã độc chiếm đặc quyền root trên thiết bị.
Tordow root thiết bị để đánh cắp dữ liệu nhạy cảm
Sau khi có quyền truy cập root, Tordow sẽ có được toàn quyền kiểm soát thiết bị. Nhà nghiên cứu cho hay ông tìm thấy các chức năng độc hại bên trong mã nguồn của trojan như khả năng đánh cắp danh bạ, thực hiện cuộc gọi điện thoại và gửi, đánh cắp, và xóa các tin nhắn SMS.
Ngoài ra, trojan cũng có thể tải về và chạy các tập tin trên thiết bị, cài đặt hoặc gỡ bỏ các ứng dụng, chặn truy cập đến một trang web cụ thể, đổi tên các tập tin trên điện thoại, tải tập tin từ điện thoại đến máy chủ trực tuyến, và khởi động lại điện thoại thông minh.
Savvy cho hay một trong những tập tin mà Tordow nhắm mục tiêu đánh cắp là cơ sở dữ liệu của trình duyệt Android và Chrome cho Android. Cơ sở dữ liệu này không chỉ chứa lịch sử duyệt web, mà còn cả mật khẩu của người dùng. Các file mục tiêu khác là hình ảnh của người dùng.
Không mới, không duy nhất
Tordow không phải là trojan Android đầu tiên được trang bị khả năng root, cũng không phải là trojan đầu tiên có thể đánh cắp hình ảnh và lịch sử duyệt web từ thiết bị của người dùng.
Các trojan Android khác cũng có thể root thiết bị là Godless, Ztorg, Libskin, Matrix, Rootnik và Shuanet.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: