Được gọi là RottenSys, phần mềm độc hại được ngụy trang dưới dạng một ứng dụng “Hệ thống wifi” đã được cài đặt sẵn trên hàng triệu điện thoại thông minh mới được sản xuất bởi Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE.
Tất cả những thiết bị bị ảnh hưởng này đều được vận chuyển qua Tian Pai, nhà phân phối điện thoại di động ở Hàng Châu (Trung Quốc), nhưng các nhà nghiên cứu không chắc chắn công ty này có tham gia trực tiếp vào chiến dịch này hay không.
Theo đánh giá của hãng Check Point, RottenSys là một phần của phần mềm độc hại không cung cấp bất kỳ dịch vụ nào liên quan đến wifi, nhưng hầu như có tất cả các quyền truy cập trên Android để cho phép thực hiện hành vi độc hại.
Các nhà nghiên cứu cho biết, RottenSys bắt đầu lây lan từ tháng 9/2016. Đến ngày 12/3/2018, RottenSys đã lây nhiễm 4.964.460 thiết bị.
Để tránh phát hiện, ứng dụng dịch vụ wifi giả mạo ban đầu không có thành phần độc hại và không thực hiện bất kỳ hoạt động độc hại nào ngay lập tức.
Thay vào đó, RottenSys đã được thiết kế để liên lạc với các máy chủ điều khiển và kiểm soát để có được danh sách các thành phần yêu cầu, chứa mã độc hại thực tế.
Sau đó RottenSys tải xuống và cài đặt mỗi ứng dụng cho phù hợp, sử dụng quyền "DOWNLOAD_WITHOUT_NOTIFICATION" không yêu cầu bất kỳ tương tác người dùng nào.
Tin tặc thu được 115.000 USD trong 10 ngày
Tin tặc đã đẩy một thành phần phần mềm quảng cáo tới tất cả các thiết bị bị lây nhiễm để hiển thị quảng cáo trên màn hình chính, như cửa sổ pop-up hoặc quảng cáo toàn màn hình tạo ra doanh thu từ quảng cáo lừa đảo.
Các nhà nghiên cứu cho biết: trong 10 ngày (tính đến ngày 12/3/2018), RottenSys đã hiển thị 13.250.756 lần quảng cáo và 548.822 trong số đó đã được chuyển sang ad click (người xem phải nhấp chuột vào hiển thị quảng cáo). Phần mềm độc hại đã tạo ra nguồn thu 115.000 USD cho những kẻ tạo ra mã độc.
Vì RottenSys được thiết kế để tải xuống và cài đặt bất kỳ thành phần mới từ máy chủ C&C, kẻ tấn công có thể dễ dàng kiểm soát hàng triệu thiết bị bị lây nhiễm.
Cuộc điều tra cũng tiết lộ một số bằng chứng cho thấy, các kẻ tấn công RottenSys đã bắt đầu chuyển hàng triệu thiết bị bị lây nhiễm thành mạng botnet khổng lồ.
Trong một số thiết bị bị nhiễm độc, người ta đã phát hiện ra thành phần RottenSys mới được cài đặt cho phép kẻ tấn công chiếm quyền sâu hơn, bao gồm cài đặt ứng dụng bổ sung và tự động hóa UI.
Các nhà nghiên cứu cũng lưu ý rằng, một phần của cơ chế kiểm soát botnet được thực hiện trong các Lua script. Nếu không có sự can thiệp, kẻ tấn công có thể tái sử dụng kênh phân phối mã độc hiện có và nắm quyền kiểm soát hàng triệu thiết bị.
Cách thức phát hiện và loại bỏ phần mềm độc hại Android
Để kiểm tra x thiết bị có bị nhiễm phần mềm độc hại không, người dùng vào cài đặt hệ thống Android → Trình quản lý ứng dụng và sau đó tìm tên gói phần mềm độc hại có thể sau đây:
Nếu thấy bất kỳ tên nào bên trong danh sách các ứng dụng đã cài đặt trên, người dùng chỉ cần gỡ cài đặt.
Hồng Loan
Theo The Hacker News
07:00 | 04/05/2020
08:00 | 11/08/2020
09:00 | 23/07/2018
20:00 | 04/02/2019
11:00 | 08/04/2019
10:00 | 29/11/2018
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
13:00 | 13/11/2023
TriangleDB là phần mềm độc hại chính được sử dụng trong chiến dịch Operation Triangulation nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Bài viết này trình bày chi tiết một khía cạnh quan trọng của cuộc tấn công, bao gồm các module tính năng lén lút được thực hiện bởi các tác nhân đe dọa cùng với những thông tin về các thành phần được sử dụng, dựa trên báo cáo phân tích mới đây của hãng bảo mật Kaspersky.
10:00 | 07/11/2023
Các nhà nghiên cứu tại hãng bảo mật CheckPoint cùng công ty dịch vụ và công nghệ mạng Sygnia đã quan sát và theo dõi một nhóm tin tặc có liên kết với Bộ tình báo và an ninh Iran (MOIS) đang tiến hành một chiến dịch gián điệp mạng tinh vi nhắm vào các lĩnh vực tài chính, chính phủ, quân sự và viễn thông ở khu vực Trung Đông trong khoảng thời gian ít nhất là một năm.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024