Trojan của Android biến thể với mỗi lượt tải về

Diễn đàn - Ngày đăng : 08:13, 04/11/2015

Các nhà nghiên cứu từ hãng bảo mật Symantec đã xác định rằng một Trojan tin nhắn SMS của Android thay đổi mã của nó mỗi khi nó được tải về để bỏ qua tính năng phát hiện chống virus.Kỹ thuật này được gọi là hiện tượng đa hình phía máy chủ và đã tồn tại trong thế giới của phần mềm độc hại máy tính để bàn trong nhiều năm, nhưng cho đến nay những người sáng tạo phần mềm độc hại di động mới bắt đầu áp dụng nó.

Các nhà nghiên cứu từ hãng bảo mật Symantec đã xác định rằng một Trojan tin nhắn SMS của Android thay đổi mã của nó mỗi khi nó được tải về để bỏ qua tính năng phát hiện chống virus.

Kỹ thuật này được gọi là hiện tượng đa hình phía máy chủ và đã tồn tại trong thế giới của phần mềm độc hại máy tính để bàn trong nhiều năm, nhưng cho đến nay những người sáng tạo phần mềm độc hại di động mới bắt đầu áp dụng nó.

Một cơ chế đặc biệt chạy trên máy chủ phân phối đã sửa đổi một số phần nhất định của Trojan để đảm bảo rằng tất cả các ứng dụng độc hại được tải về là độc nhất. Điều này khác với hiện tượng đa hình cục bộ (các phần mềm độc hại sửa đổi mã riêng của mình mỗi khi nó được thực thi).

Symantec đã xác định được nhiều biến thể của ngựa Trojan này như là Android.Opfake, và tất cả đều được phân phối từ các trang web của Nga. Tuy nhiên, phần mềm độc hại có chứa các hướng dẫn để tự động gửi tin nhắn SMS đến các số điện thoại từ một số lượng lớn các nước Liên minh châu Âu và Liên Xô cũ.

Trong một số trường hợp, đặc biệt là khi các sản phẩm bảo mật dựa rất nhiều vào chữ ký tĩnh, thì việc phát hiện các mối đe dọa phần mềm độc hại sử dụng hiện tượng đa hình phía máy chủ có thể gặp nhiều khó khăn.“Với phần mềm độc hại có ảnh hưởng đến các thiết bị điện toán truyền thống, mức độ tinh tế của đa hình được sử dụng có thể ảnh hưởng đến cách mối đe dọa được phát hiện dễ dàng hay khó khăn”, ông Vikram Thakur, nhà quản lý an ninh phản ứng chính tại Symantec, cho biết. “Đa hình phức tạp hơn đòi hỏi phải có biện pháp đối phó thông minh hơn.”

Trong trường hợp của Android.Opfake, mức độ của đa hình không phải là rất cao, vì chỉ có một số tập tin dữ liệu của Trojan đang được sửa đổi bởi các máy chủ phân phối.

Theo Armstrong, hiện tượng đa hình phía máy chủ không phải là rất phổ biến trên nền tảng Android tại thời điểm này bởi vì hầu hết người dùng nhận được các ứng dụng của họ thông qua các kênh chính thức và cấu trúc Android Market hiện tại không cho phép một chương trình phân phối phần mềm độc hại như thế này.

Tuy nhiên, ông đồng ý rằng phần mềm độc hại Android đa hình có thể buộc các nhà cung cấp phần mềm chống virus phải thiết lập lại từ đầu trong tương lai. "Tôi nghĩ rằng nhiều tính năng hiện đang có sẵn trên các nền tảng truyền thống sẽ bắt đầu trở nên không cần thiết trên các nền tảng điện thoại di động vì những kẻ tội phạm thay đổi phương pháp tấn công của mình", Armstrong cho biết.

Gần đây đã có nhiều phát triển mới về các mối đe dọa điện thoại di động và sự gia tăng tập trung vào điện thoại thông minh là một bước đi hợp lý của những tác giả phần mềm độc hại, Jamz Yaneza, giám đốc nghiên cứu tại công ty chống virus Trend Micro cho biết.

Người dùng sẽ trở nên có ý thức hơn về thực tế này và ý thức hơn về khả năng của các thiết bị di động của họ. Hiện nay, những khả năng của các thiết bị di động tương tự như khả năng của các máy tính di động, Yaneza cho biết. "Họ cần phải tải ứng dụng với sự thận trọng giống như họ khi họ thực hiện trên máy tính để bàn", và cài đặt hoặc sử dụng bất cứ tiện ích an ninh nào mà họ có thể vì chúng sẽ tạo ra một lớp bảo vệ.

Cao Thắng