Gần 5 triệu điện thoại Android phổ biến bị cài sẵn phần mềm độc hại

15:00 | 21/03/2018 | HACKER / MALWARE

Các nhà nghiên cứu tại hãng bảo mật Check Point đã phát hiện ra một chiến dịch mã độc đang phát triển liên tục và đã lây nhiễm gần 5 triệu thiết bị di động trên toàn thế giới.

Gần 5 triệu điện thoại Android phổ biến bị cài sẵn phần mềm độc hại

Được gọi là RottenSys, phần mềm độc hại được ngụy trang dưới dạng một ứng dụng “Hệ thống wifi” đã được cài đặt sẵn trên hàng triệu điện thoại thông minh mới được sản xuất bởi Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE.

Tất cả những thiết bị bị ảnh hưởng này đều được vận chuyển qua Tian Pai, nhà phân phối điện thoại di động ở Hàng Châu (Trung Quốc), nhưng các nhà nghiên cứu không chắc chắn công ty này có tham gia trực tiếp vào chiến dịch này hay không.

Theo đánh giá của hãng Check Point, RottenSys là một phần của phần mềm độc hại không cung cấp bất kỳ dịch vụ nào liên quan đến wifi, nhưng hầu như có tất cả các quyền truy cập trên Android để cho phép thực hiện hành vi độc hại.

Các nhà nghiên cứu cho biết, RottenSys bắt đầu lây lan từ tháng 9/2016. Đến ngày 12/3/2018, RottenSys đã lây nhiễm 4.964.460 thiết bị.

Để tránh phát hiện, ứng dụng dịch vụ wifi giả mạo ban đầu không có thành phần độc hại và không thực hiện bất kỳ hoạt động độc hại nào ngay lập tức.

Thay vào đó, RottenSys đã được thiết kế để liên lạc với các máy chủ điều khiển và kiểm soát để có được danh sách các thành phần yêu cầu, chứa mã độc hại thực tế.

Sau đó RottenSys tải xuống và cài đặt mỗi ứng dụng cho phù hợp, sử dụng quyền "DOWNLOAD_WITHOUT_NOTIFICATION" không yêu cầu bất kỳ tương tác người dùng nào.

Tin tặc thu được 115.000 USD trong 10 ngày

Tin tặc đã đẩy một thành phần phần mềm quảng cáo tới tất cả các thiết bị bị lây nhiễm để hiển thị quảng cáo trên màn hình chính, như cửa sổ pop-up hoặc quảng cáo toàn màn hình tạo ra doanh thu từ quảng cáo lừa đảo.

Các nhà nghiên cứu cho biết: trong 10 ngày (tính đến ngày 12/3/2018), RottenSys đã hiển thị 13.250.756 lần quảng cáo và 548.822 trong số đó đã được chuyển sang ad click (người xem phải nhấp chuột vào hiển thị quảng cáo). Phần mềm độc hại đã tạo ra nguồn thu 115.000 USD cho những kẻ tạo ra mã độc.

Vì RottenSys được thiết kế để tải xuống và cài đặt bất kỳ thành phần mới từ máy chủ C&C, kẻ tấn công có thể dễ dàng kiểm soát hàng triệu thiết bị bị lây nhiễm.

Cuộc điều tra cũng tiết lộ một số bằng chứng cho thấy, các kẻ tấn công RottenSys đã bắt đầu chuyển hàng triệu thiết bị bị lây nhiễm thành mạng botnet khổng lồ.

Trong một số thiết bị bị nhiễm độc, người ta đã phát hiện ra thành phần RottenSys mới được cài đặt cho phép kẻ tấn công chiếm quyền sâu hơn, bao gồm cài đặt ứng dụng bổ sung và tự động hóa UI.

Các nhà nghiên cứu cũng lưu ý rằng, một phần của cơ chế kiểm soát botnet được thực hiện trong các Lua script. Nếu không có sự can thiệp, kẻ tấn công có thể tái sử dụng kênh phân phối mã độc hiện có và nắm quyền kiểm soát hàng triệu thiết bị.

Cách thức phát hiện và loại bỏ phần mềm độc hại Android

Để kiểm tra x thiết bị có bị nhiễm phần mềm độc hại không, người dùng vào cài đặt hệ thống Android → Trình quản lý ứng dụng và sau đó tìm tên gói phần mềm độc hại có thể sau đây:

com.android.yellowcalendarz (每日黄历)
com.changmi.launcher (畅米桌面)
com.android.services.securewifi (系统WIFI服务)
com.system.service.zdsgt

Nếu thấy bất kỳ tên nào bên trong danh sách các ứng dụng đã cài đặt trên, người dùng chỉ cần gỡ cài đặt.

Hồng Loan

Theo The Hacker News

‹ › ×

Tin liên quan

Cách gỡ bỏ phần mềm độc hại xHelper trên Android

07:00 | 04/05/2020

Xuất hiện vào tháng 3/2019, phần mềm độc hại xHelper đã lây nhiễm trên hơn 45.000 thiết bị Android. Loại phần mềm độc hại này khiến các chuyên gia bảo mật phải đau đầu, vì nó dường như “bất tử” trước các phần mềm diệt virus và có thể tự cài đặt lại khi bị gỡ bỏ hay reset máy.

Mandrake: phần mềm độc hại ẩn trong hàng chục ngàn điện thoại Android

08:00 | 11/08/2020

Một phần mềm gián điệp trên điện thoại Android có tên Mandrake gây lây nhiễm trên điện thoại thông minh bằng cách cung cấp cho những kẻ đứng sau nó toàn quyền kiểm soát thiết bị trong khi người dùng không hề hay biết. Phần mềm gián điệp này đã lạm dụng các chức năng hợp pháp của Android để truy cập trên thiết bị và có thể thu thập thông tin về người dùng.

Phương pháp phát hiện các tiến trình độc hại đang chạy trên hệ thống

09:00 | 23/07/2018

Bài báo giới thiệu về phương pháp phát hiện các tiến trình độc hại đang chạy trên hệ thống, giúp cho các cán bộ kỹ thuật nhanh chóng tìm và diệt mã độc.

Một số thủ thuật phòng tránh phần mềm độc hại

20:00 | 04/02/2019

Ngày nay, việc bảo vệ máy tính hoặc các thiết bị di động của người dùng trước các rủi ro lây nhiễm mã độc là một thách thức không nhỏ, do sự phát triển của hàng triệu chương trình phần mềm độc hại với nhiều biến thể tinh vi. Để giảm thiểu các rủi ro này, người dùng cần thực hiện ngăn chặn các mối đe dọa tiềm ẩn và thường xuyên cập nhật các bản vá bảo mật. 10 thủ thuật dưới đây sẽ giúp người dùng đảm bảo an toàn cho thiết bị của mình.

Phần Lan điều tra việc điện thoại Nokia gửi dữ liệu cho máy chủ tại Trung Quốc

11:00 | 08/04/2019

Cơ quan bảo vệ giám sát dữ liệu Phần Lan đang điều tra công ty HMD Global (công ty hiện đang sở hữu quyền thương hiệu Nokia) về việc điện thoại Nokia có hành vi gửi dữ liệu nhạy cảm tới một máy chủ tại Trung Quốc. Sự việc này có thể được xem là dấu hiệu vi phạm Quy định Bảo vệ Dữ liệu Chung (GDPR).

Phát hiện hơn 3,2 triệu mã độc Android trong Quý III/2018

10:00 | 29/11/2018

Theo công bố mới đây của hãng G Data (Đức), trong quý III/2018 đã phát hiện hơn 3,2 triệu mã độc trên các thiết bị Android. Số lượng mã độc gia tăng 40% so với cùng kỳ năm 2017.

Tin cùng chuyên mục

Tin tặc có thể sử dụng AI tạo sinh để thao túng các cuộc trò chuyện trực tiếp

09:00 | 09/04/2024

Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.

Biến thể mới của kỹ thuật tấn công DLL vượt qua các biện pháp bảo vệ của Windows 10, 11

08:00 | 19/01/2024

Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.

Giải mã tính năng che giấu của TriangleDB trong chiến dịch Operation Triangulation

13:00 | 13/11/2023

TriangleDB là phần mềm độc hại chính được sử dụng trong chiến dịch Operation Triangulation nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Bài viết này trình bày chi tiết một khía cạnh quan trọng của cuộc tấn công, bao gồm các module tính năng lén lút được thực hiện bởi các tác nhân đe dọa cùng với những thông tin về các thành phần được sử dụng, dựa trên báo cáo phân tích mới đây của hãng bảo mật Kaspersky.

Tin tặc Iran nhắm mục tiêu vào các công ty tài chính và chính phủ ở Trung Đông

10:00 | 07/11/2023

Các nhà nghiên cứu tại hãng bảo mật CheckPoint cùng công ty dịch vụ và công nghệ mạng Sygnia đã quan sát và theo dõi một nhóm tin tặc có liên kết với Bộ tình báo và an ninh Iran (MOIS) đang tiến hành một chiến dịch gián điệp mạng tinh vi nhắm vào các lĩnh vực tài chính, chính phủ, quân sự và viễn thông ở khu vực Trung Đông trong khoảng thời gian ít nhất là một năm.