Mã độc Ransomware mới làm thay đổi mã Pin của thiết bị Android

ESET cho biết, trước đây họ đã từng phát hiện ra loại Android LockScreen Trojans cũng thực hiện việc khóa màn hình,  đưa ra một cửa sổ yêu cầu tiền chuộc và triển khai hàng loạt các kỹ thuật tấn công để khóa thiết bị. Tuy nhiên, với kiểu tấn công này, người dùng có thể dễ dàng loại bỏ phần mềm độc hại và mở khóa thiết bị thông qua Android Debug Bridge (ADB) hoặc giành lại quyền quản trị và loại bỏ Trojan trong chế độ Safe Mode.

Mã độc mới được phát hiện có tên là Android/Lockerpin.A. Loại mã độc này làm cho người dùng mất quyền truy nhập thiết bị nếu như họ không có quyền truy nhập tận gốc (root access) và một giải pháp bảo mật được cài đặt. Trojan chỉ có thể được loại bỏ nhờ việc thiết lập lại mặc định gốc, nhưng điều này cũng sẽ xóa bỏ tất cả dữ liệu của người dùng.

Sau khi cài đặt, mã độc chiếm quyền giám sát thiết bị (Administrator Device) bằng cách lừa người dùng cài đặt một “bản cập nhật”. Trên thực tế, thứ được gọi là “cập nhật” này chính là đặc quyền Administrator Device của phần mềm độc hại được ẩn dưới của sổ. Người dùng cài đặt loại “cập nhật” này là đang kích hoạt quyền Administrator Device của kẻ tấn công.

Khi người dùng nhấn nút “Continue”, Trojan có thể khóa thiết bị và còn thiết lập một mã pin mới để khóa màn hình. Ngay sau đó, nó yêu cầu người dùng phải trả 500USD tiền chuộc bằng việc hiển thị một cảnh báo từ FBI rằng thiết của họ đang chứa tài liệu khiêu dâm trái phép.

Mặc dù thiết bị đã bị khóa, người dùng vẫn có thể gỡ bỏ cài đặt Android/ Lockerpin. A  từ Safe Mode hay từ sự hỗ trợ của ADB và có thể thiết lập lại PIN, nhưng điều này cũng không giúp họ lấy lại được quyền kiểm soát thiết bị của mình nếu không có các quyền truy xuất, quản trịvào nhân hệ thống (root).

“Sau khi thiết lập lại pin, dù người sở hữu hay kẻ tấn công cũng không thể mở khóa thiết bị vì mã PIN được tạo ngẫu nhiên và cũng không gửi tới kẻ tấn công. Cách duy nhất để mở khóa là thiết lập lại những mặc định gốc”.  Lukas Stefankocủa ESET cho biết. Phần mềm độc hại sử dụng kỹ thuật tấn công tự vệ (self-defence) để chiếm quyền quản trị thiết bị (Device Admin) nếu người dùng cố gắng vô hiệu hóa chúng. Ngoài ra, khi người dùng cố gắng loại bỏ quyền quản trị thì cửa sổ Device Administrator giả mạo sẽ hiện ra để tái kích hoạt của những quyền nâng cao.

Hơn nữa, tính năng tự vệ trong tấn công của Trojan có khả năng vô hiệu hóa những chương trình chống virut đang chạy trên thiết bị và Trojan cũng kiểm soát cả file  com.android.settings để xây dựng ứng dụng quản lý nhằm ngăn chặn chuẩn gỡ bỏ cài đặt.

Android/Lockerpin.A không phát tán qua Google Play mà qua môi trường của bên thứ 3 như những diễn đàn warez và torents. Nó giả bộ là một ứng dụng cho phép xem video người lớn và 75% trong số đó nhắm mục tiêu vào người dùng Mỹ.

Thiết bị di động chạy Android đang ngày càng trở thành mục tiêu lựa chọn của tội phạm mạng để chúng gài mã độc sau những ứng dụng tưởng chừng như hợp pháp, một vài trong số đó có thể ẩn trong các ứng dụng của Google Play. Tuy nhiên, những lỗ hổng trong các phiên bản trước đây của Android như the lỗ hổng Stagefright cũng gây nguy hiểm cho người dùng và các doanh nghiệp đang chấp nhận mô hình BYOD

Theo securityweek.com