Phần mềm độc hại trên thiết bị di động, được mệnh danh là Rotexy, đã tiến hóa từ phần mềm gián điệp thành một Banking Trojan nguy hiểm chứa một loạt các tính năng thông minh mới. Banking Trojan là một ứng dụng hoặc phần mềm độc hại cải trang thành hàng chính hãng để lừa người dùng tải và cài đặt trên thiết bị, nó sẽ tìm cách truy cập và lấy cắp thông tin ngân hàng của người dùng sau khi được cài đặt.
Các nhà nghiên cứu báo cáo 70.000 vụ tấn công giữa tháng 8 và tháng 10 với các mục tiêu bị nhắm chủ yếu là ở Nga.
Trong một bản tóm tắt kỹ thuật được phát hành tuần trước, các nhà nghiên cứu tại Kaspersky Lab đã đưa ra giải thích mới về phần mềm độc hại của Rotexy, phần mềm lần đầu tiên được phát hiện vào tháng 10 năm 2014 dưới dạng trojan gián điệp SMS.
"Các phiên bản hiện đại của Rotexy kết hợp các chức năng của một Trojan ngân hàng và phần mềm độc hại tống tiền," theo Tatyana Shishkova và Lev Pikman, các nhà nghiên cứu của Kaspersky Lab. Phiên bản mới nhất của phần mềm độc hại có khả năng vượt xa khỏi việc đọc trộm tin nhắn SMS, nó thao túng màn hình thiết bị với mục đích ăn cắp số thẻ ngân hàng cũng như thực hiện các cuộc tấn công tống tiền.
Các phân tích của Kaspersky đã chỉ ra chi tiết bốn năm cải tiến đều đặn của Rotexy. Tính năng chủ yếu và độc đáo của trojan luôn luôn là sự kết hợp của ba nguồn điều khiển theo lệnh: các máy chủ C&C, nhắn tin SMS và tận dụng nền tảng Google Cloud Messaging (GCM), nơi nó sẽ gửi những tin nhắn nhỏ ở định dạng JavaScript Object Notation tới thiết bị di động sử dụng máy chủ của Google.
"Tính ‘linh hoạt’ này đã có mặt trong phiên bản đầu tiên của Rotexy và là một đặc điểm của tất cả các đại diện tiếp theo của tập hợp, "các nhà nghiên cứu cho biết. Ban đầu, trojan đã được xác định là Trojan-Spy.AndroidOS.SmsThief, nhưng khi nó phát triển phức tạp hơn, các nhà nghiên cứu đã xếp nó cho một tập hợp khác - Trojan-Banker.AndroidOS.Rotexy.
Khả năng chính của Rotexy là chặn và đọc tin nhắn SMS cũng như theo dõi danh sách tất cả các quy trình đang chạy và các ứng dụng đã cài đặt (có thể bao gồm cả việc theo dõi có các ứng dụng diệt virus hoặc ngân hàng). Phiên bản mới nhất có thể chặn màn hình của thiết bị để thực hiện các chức năng lừa đảo hoặc tống tiền.
Quá trình tấn công mới
Phiên bản mới nhất của trojan lây lan qua các liên kết được gửi trong các tin nhắn lừa đảo trực tuyến nhắc người dùng cài đặt ứng dụng. Khi nó khởi chạy, ứng dụng yêu cầu quyền quản trị thiết bị và sau đó bắt đầu liên lạc với máy chủ C & C của nó.
Trong lần đầu tiên khởi chạy, trojan sẽ kiểm tra để đảm bảo thiết bị của nạn nhân nằm ở Nga và không phải là trình mô phỏng được các nhà nghiên cứu bảo mật sử dụng để phát hiện phần mềm độc hại. Nếu thiết bị đủ điều kiện, trojan đăng ký với dịch vụ thông báo di động Google Cloud Messaging và khởi chạy một dịch vụ để kiểm tra xem trojan có quyền quản trị thiết bị hay không, theo các nhà nghiên cứu.
"Nếu Trojan phát hiện một nỗ lực thu hồi đặc quyền quản trị viên của nó, nó bắt đầu định kỳ tắt màn hình điện thoại, cố gắng ngăn chặn các hành động của người dùng", các nhà nghiên cứu cho biết. "Nếu các đặc quyền được thu hồi thành công, Trojan sẽ khởi động lại chu kỳ yêu cầu đặc quyền quản trị viên."
Khi chạy, trojan có thể theo dõi khi điện thoại được bật hoặc khởi động lại - và liệu tin nhắn văn bản có đang được gửi hay không.
Để thực hiện khả năng theo dõi tin nhắn SMS, trojan gửi mã số nhận dạng thiết bị di động quốc tế (International Mobile Equipment Identity -IMEI) của thiết bị bị lây nhiễm tới máy chủ C & C và sau đó nhận được một bộ quy tắc xử lý tin nhắn văn bản đến.
Bộ quy tắc bao gồm các số điện thoại và từ khóa được áp dụng chủ yếu cho các tin nhắn từ ngân hàng, hệ thống thanh toán và nhà khai thác mạng di động.
"Rotexy chặn tất cả các tin nhắn SMS đến và xử lý chúng theo các mẫu mà nó nhận được từ C & C", các nhà nghiên cứu cho biết. “Ngoài ra, khi một SMS đến, Trojan sẽ đưa điện thoại vào chế độ im lặng và tắt màn hình để người dùng không nhận thấy tin nhắn SMS mới đã đến. Khi được yêu cầu, Trojan sẽ gửi một tin nhắn SMS đến số điện thoại được chỉ định với thông tin đã nhận được từ tin nhắn bị chặn. ”
Đây là nơi khả năng độc hại của phần mềm tống tiền xuất hiện. Phiên bản mới nhất của Rotexy có thể chặn màn hình của thiết bị trong một khoảng thời gian dài và hiển thị trang tống tiền, yêu cầu một khoản tiền chuộc để bỏ chặn nó.
Rotexy cũng hiển thị một trang lừa đảo phức tạp giả dạng trang web của ngân hàng, nhắc người dùng nhập chi tiết thẻ ngân hàng của mình. Trang này thường hiển thị thông báo cho biết người dùng đã nhận được chuyển tiền và họ phải nhập số thẻ ngân hàng của mình để tiền có thể được chuyển vào tài khoản của họ.
"Trang này ... chặn màn hình thiết bị cho đến khi người dùng nhập tất cả thông tin", các nhà nghiên cứu cho biết. "Nó thậm chí còn có bàn phím ảo riêng được cho là bảo vệ nạn nhân khỏi các trình theo dõi thao tác bàn phím."
Điều thú vị là trojan có thể kiểm tra xem các chi tiết thẻ có chính xác hay không. Rotexy thực hiện điều này bằng cách chặn thông báo từ ngân hàng trong các mẫu để xử lý tin nhắn văn bản đến điện thoại của nạn nhân. Thông điệp đó có thể chứa bốn số cuối của thẻ ngân hàng được kết nối với số điện thoại.
Vì vậy, khi người dùng nhập số thẻ, phần mềm độc hại sẽ kiểm tra số đã nhập với thông tin chi tiết thẻ trong các mẫu và chỉ chấp nhận nếu số được nhập có bốn chữ số cuối phù hợp với số nó đã thu thập được.
Các biện pháp giảm thiểu
May mắn cho các nạn nhân có màn hình đang bị chặn bởi những kẻ xấu đằng sau phần mềm độc hại này, một thủ thuật đơn giản có thể bỏ chặn điện thoại.
Nếu nạn nhân gửi các số '3458' trong tin nhắn văn bản tới thiết bị bị chặn và sau đó gửi lệnh “stop_blocker”, phần mềm độc hại sẽ bỏ chặn màn hình.
Đó là vì 3458 là một trong các lệnh được lập trình để trojan thu hồi đặc quyền quản trị viên thiết bị từ ứng dụng và lệnh ‘stop_blocker’ sẽ hủy kích hoạt màn hình.
"Điều này sẽ thu hồi các đặc quyền của quản trị viên từ Trojan," các nhà nghiên cứu cho biết. “Sau đó, cần phải gửi ‘stop_blocker’ đến cùng một số - điều này sẽ vô hiệu hóa việc hiển thị các trang HTML tống tiền và chặn màn hình. Rotexy có thể bắt đầu yêu cầu quyền quản trị thiết bị một lần nữa trong một vòng lặp vô hạn; trong trường hợp đó, khởi động lại thiết bị ở chế độ an toàn và xóa chương trình độc hại. "
Tuy nhiên, mẹo này không hoàn hảo và có thể không còn hữu dụng với các phiên bản mới của trojan, các nhà nghiên cứu cho biết: “Tập hợp các lệnh có thể thay đổi trong các phiên bản tương lai của Trojan.”