Mã độc Adware trên thiết bị Android

HG| 16/10/2015 12:04
Theo dõi ICTVietnam trên

Các nhà nghiên cứu tại FireEye đã theo dõi một chiến dịch phần mềm quảng cáo có chứa mã độc (adware) đã gây ảnh hưởng đến các thiết bị Android của người sử dụng trên hơn 20 quốc gia.

Loại mã độc này mang tên “Kemoge”, dựa trên tên miền aps.kemoge.net của một chương trình điều khiển qua lệnh được “đóng gói” với những ứng dụng Android phổ biến khác nhau, như: trình duyệt, tính toán, games, thiết bị khóa và các công cụ chia sẻ. Những ứng dụng này được tải lên kho ứng dụng của bên thứ 3 và được quảng bá thông qua các ứng dụng quảng cáo và đường link tải về được đăng tải trên những website khác nhau. Theo FireEye, nhờ tính linh hoạt của mạng lưới quảng cáo mà mã độc được tự động cài đặt để chiếm quyền điều khiển cấp cao nhất nhằm can thiệp trực tiếp vào những tệp tin hệ thống của thiết bị.

Sau khi Kemoge được cài đặt trên điện thoại thông minh, chúng sẽ thu thập thông tin trên thiết bị và bắt đầu “phục vụ” quảng cáo. Bất kể khi nạn nhân đang làm gì, thậm chí ngay cả khi không có bất kỳ ứng dụng nào đang chạy thì “quảng cáo” vẫn sẵn sàng hiển thị trên thiết bị của họ với tần xuất lớn hơn bình thường.

Loại mã độc này tự động khởi chạy khi nạn nhân mở khóa màn hình hoặc thay đổi kết nối mạng gây ra một số thay đổi trên hệ thống. Tiếp đó, nó tìm một file Zip đã cải trang giống như MP4 để khai thác 8 phương thức tấn công vào quyền quản trị nhân hệ thống của điện thoại. Bằng nhiều hình thức khai thác quyền khiển cấp cao nhất như vậy nên Kemoge có khả năng tấn công hàng loạt thiết bị.

Khi đã chiếm được được “toàn quyền” truy cập sâu vào thiết bị, chúng sử dụng các thành phần khác để bám trụ một cách dai dẳng sau đó cấy bộ cài đặt ứng dụng (APK) vào phần hệ thống đã được chúng cải trang giống như một dịch vụ hợp pháp. Dịch vụ này kết nối với aps.kemoge.net và đợi lệnh từ kẻ tấn công. Và để tránh bị phát hiện, dịch vụ chỉ kết nối máy chủ trong lần khởi chạy đầu tiên và sau 24 giờ tính từ lệnh trước đó.

Với loại mã độc này, những kẻ tấn công có thể cài đặt một ứng dụng đã được chỉ định, khởi chạy hoặc tải về và cài đặt ứng dụng từ một URL được cung cấp chỉ thông qua việc gửi lệnh.

Trong số hơn 20 quốc gia được phát hiện có các thiết bị Android bị lây nhiễm Kemoge có cả Trung Quốc, Hoa Kỳ, Nga, Ả Rập Saudi, Ai Cập, Malaysia, Indonesia, Pháp, Anh, Ba Lan và Peru.

Hiện nay FireEye và các chuyên gia an ninh đã nghiên cứu, phân tích và thấy rằng phần mềm quảng cáo độc hại này có thể đã được tạo ra từ nhà phát triển ứng dụng di dộng ở Trung Quốc.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Mã độc Adware trên thiết bị Android
POWERED BY ONECMS - A PRODUCT OF NEKO