WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Trojan trên hệ điều hành Android ngăn chặn khởi chạy ứng dụng an ninh
Một trojan ngân hàng trên hệ điều hành Android mới có khả năng thích nghi với các ứng dụng chống phần mềm độc hại cũng như chống lại các ứng dụng đó bằng cách ngăn ngừa chúng khởi chạy.
Được phát hiện dưới cái tên Android/Banker.GT!Tr.spy, dòng mã độc mới này được thiết kế để đánh cắp thông tin ngân hàng từ người sử dụng của 15 ứng dụng ngân hàng di động khác nhau dành cho các ngân hàng Đức. Hơn thế nữa, tác giả của trojan có thể kiểm soát danh sách ứng dụng mục tiêu từ máy chủ C&C, nghĩa là họ có thể dễ dàng nhắm mục tiêu đến nhiều ứng dụng hơn.
Mã độc này giả dạng một ứng dụng email và thậm chí sẽ hiển thị một biểu tượng trong launcher. Tuy nhiên, tương tự như một số mối đe dọa di động khác, mã độc lừa người dùng cung cấp cho nó quyền quản trị. Tại thời điểm này, biểu tượng của trojan sẽ được ẩn trong launcher, dù phần mềm độc hại vẫn hoạt động ngầm.
Chương trình yêu cầu các quyền để đọc trạng thái điện thoại, địa chỉ liên lạc, nhận nhiệm vụ, viết cài đặt, trực tiếp gọi đến số điện thoại, đọc/ghi/gửi/nhận tin nhắn SMS, truy cập và thay đổi trạng thái mạng… Sau khi cài đặt, mã độc sẽ tạo ra ba dịch vụ chạy ngầm là GPService2, FDService và AdminRightsService.
Dịch vụ GPService2, theo các nhà nghiên cứu của Fortinet, là để theo dõi tất cả các tiến trình đang chạy trên thiết bị cũng như để tấn công các ứng dụng ngân hàng nói trên bằng cách hiển thị một màn hình tùy chỉnh tương tự như cửa sổ của phần mềm hợp pháp. Mã độc bao gồm một màn hình đăng nhập tùy biến khác nhau cho từng ngân hàng và hiển thị màn hình phù hợp một khi ứng dụng tương ứng được khởi chạy.
Dịch vụ giám sát cũng chịu trách nhiệm cản trở một số ứng dụng di động diệt virus và các tiện ích dịch vụ bằng cách ngăn chặn các ứng dụng đó khởi chạy. Hơn nữa, dịch vụ bao gồm chức năng giao tiếp với máy chủ C&C để gửi yêu cầu và nhận payload phù hợp với từng ngân hàng mục tiêu.
Thành phần FDService theo dõi tất cả các tiến trình đang chạy trên thiết bị nhưng được thiết kế để nhắm mục tiêu đến các ứng dụng cụ thể, mà các nhà nghiên cứu cho rằng có thể bao gồm các ứng dụng truyền thông xã hội phổ biến cũng như phần mềm ngân hàng. Dịch vụ này cũng có thể hiển thị một cửa sổ Google Play giả mạo để lừa người dùng nhập thông tin thẻ tín dụng.
AdminRightsService là để yêu cầu quyền quản trị khi mã độc chạy lần đầu. Ngay sau khi người dùng cấp quyền admin, việc gỡ bỏ mã độc sẽ khó khăn hơn nhiều, các nhà nghiên cứu cho biết.
Sau khi cài đặt, trojan thu thập thông tin về thiết bị và gửi đến máy chủ C&C, sau đó chờ lệnh để thực hiện. Mã độc hỗ trợ các lệnh như chặn tin nhắn SMS gửi đến, gửi tin nhắn văn bản, gửi yêu cầu USSD, gửi tin nhắn SMS đến tất cả các số trong danh bạ, thay đổi địa chỉ của máy chủ C&C, thêm/xóa một ứng dụng vào danh sách loại trừ, tải về danh sách ứng dụng mục tiêu cập nhật từ máy chủ C&C, hiển thị một hộp thoại template dựa trên Webview và gửi thông tin thu thập được từ thiết bị đến máy chủ C&C.
Mã độc liên lạc với máy chủ C&C qua HTTPS. Ngoài thông tin ngân hàng bị đánh cắp, nó sẽ gửi các thông tin như số IMEI của điện thoại, mã quốc gia ISO, phiên bản Android, mẫu thiết bị và số điện thoại. Nó cũng thu thập danh sách các ứng dụng được cài đặt và gửi đến máy chủ.
Để loại bỏ trojan này, người dùng trước hết nên vô hiệu hóa quyền quản trị của nó bằng cách vào Settings -> Security -> Device administrators -> Device Admin -> Deactivate. Tiếp theo, họ có thể gỡ bỏ chương trình độc hại với sự giúp đỡ của ADB (Android Debug Bridge) bằng cách sử dụng lệnh "adb uninstall [packagename]'.
Theo SecurityWeek
Được phát hiện dưới cái tên Android/Banker.GT!Tr.spy, dòng mã độc mới này được thiết kế để đánh cắp thông tin ngân hàng từ người sử dụng của 15 ứng dụng ngân hàng di động khác nhau dành cho các ngân hàng Đức. Hơn thế nữa, tác giả của trojan có thể kiểm soát danh sách ứng dụng mục tiêu từ máy chủ C&C, nghĩa là họ có thể dễ dàng nhắm mục tiêu đến nhiều ứng dụng hơn.
Mã độc này giả dạng một ứng dụng email và thậm chí sẽ hiển thị một biểu tượng trong launcher. Tuy nhiên, tương tự như một số mối đe dọa di động khác, mã độc lừa người dùng cung cấp cho nó quyền quản trị. Tại thời điểm này, biểu tượng của trojan sẽ được ẩn trong launcher, dù phần mềm độc hại vẫn hoạt động ngầm.
Chương trình yêu cầu các quyền để đọc trạng thái điện thoại, địa chỉ liên lạc, nhận nhiệm vụ, viết cài đặt, trực tiếp gọi đến số điện thoại, đọc/ghi/gửi/nhận tin nhắn SMS, truy cập và thay đổi trạng thái mạng… Sau khi cài đặt, mã độc sẽ tạo ra ba dịch vụ chạy ngầm là GPService2, FDService và AdminRightsService.
Dịch vụ GPService2, theo các nhà nghiên cứu của Fortinet, là để theo dõi tất cả các tiến trình đang chạy trên thiết bị cũng như để tấn công các ứng dụng ngân hàng nói trên bằng cách hiển thị một màn hình tùy chỉnh tương tự như cửa sổ của phần mềm hợp pháp. Mã độc bao gồm một màn hình đăng nhập tùy biến khác nhau cho từng ngân hàng và hiển thị màn hình phù hợp một khi ứng dụng tương ứng được khởi chạy.
Dịch vụ giám sát cũng chịu trách nhiệm cản trở một số ứng dụng di động diệt virus và các tiện ích dịch vụ bằng cách ngăn chặn các ứng dụng đó khởi chạy. Hơn nữa, dịch vụ bao gồm chức năng giao tiếp với máy chủ C&C để gửi yêu cầu và nhận payload phù hợp với từng ngân hàng mục tiêu.
Thành phần FDService theo dõi tất cả các tiến trình đang chạy trên thiết bị nhưng được thiết kế để nhắm mục tiêu đến các ứng dụng cụ thể, mà các nhà nghiên cứu cho rằng có thể bao gồm các ứng dụng truyền thông xã hội phổ biến cũng như phần mềm ngân hàng. Dịch vụ này cũng có thể hiển thị một cửa sổ Google Play giả mạo để lừa người dùng nhập thông tin thẻ tín dụng.
AdminRightsService là để yêu cầu quyền quản trị khi mã độc chạy lần đầu. Ngay sau khi người dùng cấp quyền admin, việc gỡ bỏ mã độc sẽ khó khăn hơn nhiều, các nhà nghiên cứu cho biết.
Sau khi cài đặt, trojan thu thập thông tin về thiết bị và gửi đến máy chủ C&C, sau đó chờ lệnh để thực hiện. Mã độc hỗ trợ các lệnh như chặn tin nhắn SMS gửi đến, gửi tin nhắn văn bản, gửi yêu cầu USSD, gửi tin nhắn SMS đến tất cả các số trong danh bạ, thay đổi địa chỉ của máy chủ C&C, thêm/xóa một ứng dụng vào danh sách loại trừ, tải về danh sách ứng dụng mục tiêu cập nhật từ máy chủ C&C, hiển thị một hộp thoại template dựa trên Webview và gửi thông tin thu thập được từ thiết bị đến máy chủ C&C.
Mã độc liên lạc với máy chủ C&C qua HTTPS. Ngoài thông tin ngân hàng bị đánh cắp, nó sẽ gửi các thông tin như số IMEI của điện thoại, mã quốc gia ISO, phiên bản Android, mẫu thiết bị và số điện thoại. Nó cũng thu thập danh sách các ứng dụng được cài đặt và gửi đến máy chủ.
Để loại bỏ trojan này, người dùng trước hết nên vô hiệu hóa quyền quản trị của nó bằng cách vào Settings -> Security -> Device administrators -> Device Admin -> Deactivate. Tiếp theo, họ có thể gỡ bỏ chương trình độc hại với sự giúp đỡ của ADB (Android Debug Bridge) bằng cách sử dụng lệnh "adb uninstall [packagename]'.
Theo SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: