Mã độc MilkyDoor biến điện thoại thành cửa hậu di động

08:52 | 09/05/2017 | HACKER / MALWARE

Trend Micro vừa đưa ra cảnh báo về một mã độc mới có thể biến thiết bị di động sử dụng hệ điều hành Android thành các cửa hậu di động, cho phép tin tặc truy cập vào mạng mà người dùng kết nối.

Mã độc MilkyDoor biến điện thoại thành cửa hậu di động

Mã độc này có tên là MilkyDoor, về bản chất, các điện thoại, máy tính bảng Android bị nhiễm mã độc sẽ hoạt động như các máy chủ trung gian (proxy servers) kết nối vào các mạng hợp pháp bằng các C&C server qua giao thức Socket Secure (SOCKS), từ đó cho phép kẻ xấu tiếp cận vào dữ liệu.

Theo The CyberSecurity Source, báo cáo của Trend Micro cho biết hãng đã phát hiện ra mã độc tồn tại trong khoảng 200 ứng dụng Android, mỗi ứng dụng đã được cài đặt từ 500.000 đến 1 triệu lần trên Google Play. Những ứng dụng này là sách thiếu nhi, ứng dụng vẽ, hướng dẫn thời trang và những ứng dụng giải trí khác. Trend Mirco cho biết thêm, những ứng dụng hợp pháp này đã bị tội phạm mạng đóng gói lại và gắn mã độc, sau đó tái xuất bản trên Google Play. Google đã xóa những ứng dụng này sau khi Trend Micro thông báo riêng cho họ.

Loại mã độc này đặc biệt nguy hiểm với các doanh nghiệp, bởi nó được xây dựng nhằm tấn công mạng nội bộ của các công ty, tấn công các máy chủ riêng và dữ liệu trên đó. Mã độc cho phép tin tặc xâm nhập vào các web dịch vụ của doanh nghiệp, truy cập vào FTP và SMTP, đồng thời có thể quét được địa chỉ IP nội bộ nhằm tìm ra những máy chủ dễ bị tấn công.

Về mặt kỹ thuật thì mã độc MilkyDoor cùng họ với dòng mã độc DressCode, cả hai đều dựa vào giao thức SOCKS để kết nối từ điện thoại vào mạng. Tuy nhiên, Trend Micro cho rằng MilkyDoor tinh vi và nguy hiểm hơn vì mã độc này dùng SSH nên những hành vi của nó bị trộn lẫn vào các lưu lượng mạng “sạch”. Do SSH dùng cổng 22 nên các hệ thống tường lửa thường sẽ không chặn lưu lượng qua cổng này. Hơn nữa, các quản trị mạng cũng sẽ không phát hiện ra việc giao tiếp với các C&C server do dữ liệu qua SSH đã được mã hóa.

Các ứng dụng bị nhiễm độc cũng không gây nghi ngờ với nạn nhân, bởi chúng hoạt động hoàn hảo và không yêu cầu thêm quyền gì khác thường (như yêu cầu truy cập mạng).

Trend Micro cho rằng, phiên bản mới nhất của mã độc này đã được đưa ra từ tháng 8/2016, MilkyDoor có thể được dùng để tạo ra lưu lượng ảo và thu lợi qua các chiến dịch gian lận.

Để bảo vệ các doanh nghiệp trước mối nguy hiểm này, Trend Micro cảnh báo người dùng phải cảnh giác trước các ứng dụng đáng ngờ và luôn cập nhật hệ điều hành. Đồng thời, các quản trị mạng nên giám sát chặt và hạn chế quyền của nhân viên dùng thiết bị di động kết nối vào hệ thống công ty và cần xây dựng tiến trình vá lỗ hổng hữu hiệu.

‹ › ×

Tin liên quan

Thách thức trong bảo mật di động

14:00 | 12/09/2018

Trong những năm gần đây, sự phổ biến của các thiết bị di động như điện thoại thông minh và máy tính bảng đã mang lại cho người dùng nhiều tiện lợi và khả năng dễ dàng sử dụng kết nối Internet mọi lúc, mọi nơi. Theo báo cáo của Hiệp hội Di động Toàn cầu (GSMA), cuối năm 2017, thế giới đã vượt qua mốc hơn 5 tỷ người sử dụng thiết bị di động. Tuy nhiên, việc sử dụng các thiết bị di động cũng rộng phạm vi dễ bị tổn thương trong các cuộc tấn công, bởi đây là một trong những liên kết yếu nhất trong cơ sở hạ tầng công nghệ thông tin của hầu hết các tổ chức/doanh nghiệp (TC/DN). Việc nhận thức rõ những mối đe dọa về an toàn đối với thiết bị di động sẽ giúp người dùng (cá nhân và tổ chức) tìm được các biện pháp đảm bảo an ninh an toàn trong môi trường di động.

Tin cùng chuyên mục

Hacker đe dọa làm lộ cơ sở dữ liệu nhạy cảm của World-Check

10:00 | 17/05/2024

Một hacker bị cáo buộc đã đánh cắp cơ sở dữ liệu quan trọng do Tập đoàn giao dịch chứng khoán Luân Đôn (LSEG) duy trì có chứa thông tin về những kẻ khủng bố, tội phạm tiềm năng và các cá nhân có nguy cơ cao hiện đang bị đe dọa rò rỉ hàng loạt dữ liệu nhạy cảm.

Lỗ hổng CVE-2024-31497 trong PuTTY làm rò rỉ khóa riêng

10:00 | 08/05/2024

Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).