Chủ đề

(Không gian mạng) - Ngày 14/03, hãng bảo mật Check Point (Israel) báo cáo phát hiện chiến dịch lây nhiễm mã độc quảng cáo RottenSys trên gần 5 triệu thiết bị di động khắp toàn cầu.

android-botnet-malware

Phát hiện mã độc được cài sẵn trên 5 triệu chiếc điện thoại Android

Mã độc RottenSys ngụy trang là một ứng dụng dịch vụ “Hệ thống Wi-Fi”, được cài sẵn trên hàng triệu điện thoại mới của các hãng sản xuất như Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE – trong một quy trình nào đó thuộc chuỗi cung ứng.

Tất cả những thiết bị chứa mã độc được phân phối thông qua công ty Tian Pai, một nhà phân phối điện thoại di động ở Hàng Châu (Trung Quốc). Tuy nhiên, các nhà nghiên cứu không chắc Tian Pai có trực tiếp dính líu đến chiến dịch này hay không.

Theo báo cáo, RottenSys là một mã độc cấp cao, không cung cấp bất kỳ dịch vụ nào liên quan đến bảo mật Wi-fi mà chiếm hầu hết các quyền nhạy cảm trên Android để kích hoạt những hành vi độc hại.

“Theo như những gì chúng tôi tìm thấy, chiến dịch RottenSys bắt đầu vào tháng 09/2016. Đến ngày 12/03/2018 đã có 4.964.460 thiết bị bị lây nhiễm mã độc”, các nhà nghiên cứu cho biết.

Để tránh bị phát hiện, ứng dụng dịch vụ “Hệ thống Wi-fi” ban đầu không chứa thành phần mã độc nào và cũng không bắt đầu hoạt động ngay tức thì. Thay vào đó, RottenSys được thiết kế để liên lạc với máy chủ C&C và nhận một danh sách các thành phần chứa mã độc thật sự.

Theo đó, RottenSys tiến hành tải và cài đặt mã độc, sử dụng quyền “DOWNLOAD_WITHOUT_NOTIFICATION”, cho phép hành động mà không cần có sự tương tác của người dùng.

Lúc này, chiến dịch sẽ thả các thành phần mã độc quảng cáo vào tất cả thiết bị lây nhiễm, ép buộc hiển thị quảng cáo trên màn hình chính của thiết bị dưới dạng cửa sổ pop-up hoặc quảng cáo toàn màn hình để tạo ra doanh thu quảng cáo cho tin tặc. “RottenSys là một mã độc quảng cáo cực kỳ mạnh mẽ. Chỉ trong 10 ngày, nó đã nhảy cửa sổ quảng cáo 13.250.756 lần (một con số ấn tượng trong ngành quảng cáo), và thu về được 548.822 lượt nhấp vào quảng cáo”, các nhà nghiên cứu nói.

Theo CheckPoint, mã độc đã giúp tác giả của nó kiếm được hơn 115.000 USD trong 10 ngày qua, nhưng tin tặc có thể đang nhắm đến một điều gì đó xa hơn việc phá hoại bằng các hiển thị quảng cáo không mời.

Vì RottenSys được thiết kế để tải và cài bất kỳ thành phần mới nào từ máy chủ C&C, tin tặc có thể dễ dàng dùng nó như một vũ khí để chiếm toàn quyền kiểm soát hàng triệu thiết bị lây nhiễm.

Cuộc điều tra cũng đã mở ra một vài bằng chứng cho thấy chiến dịch RottenSys đã bắt đầu biến hàng triệu thiết bị bị lây nhiễm thành một hệ thống botnet khổng lồ.

Một vài thiết bị bị lây nhiễm được tìm thấy cài đặt một thành phần mã độc RottenSys mới, giúp tin tặc có nhiều khả năng nhạy cảm hơn, bao gồm khả năng âm thầm cài đặt các ứng dụng phụ và tự động hóa UI. “Điều thú vị là, một phần của cơ chế kiểm soát botnet này được thực hiện bằng ngôn ngữ lập trình Lua. Nếu không bị can thiệp, tin tặc có thể tái sử dụng kênh phân phối mã độc đã dùng và nhanh chóng chiếm quyền kiểm soát hàng triệu thiết bị”, CheckPoint lưu ý.

Đây không phải là lần đầu CheckPoint phát hiện những thương hiệu nổi tiếng bị ảnh hưởng bởi cuộc tấn công từ chuỗi cung cấp. Năm 2017, hãng bảo mật này phát hiện điện thoại thông minh của những hãng như Samsung, LG, Xiaomi, Asus, Nexus, Oppo, và Lenovo, bị nhiễm 2 loại mã độc được cài sẵn trên máy là Loki Trojan và mã độc tống tiền Slocker, được thiết kế để giám sát người dùng.

Lâm Quang Dũng (Lược dịch từ: The Hacker News)

Thích và chia sẻ bài này trên:
Từ khóa: ,
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net