Lukas Stefanko, nhà nghiên cứu mã độc của công ty ESET cho biết, mã độc tống tiền trên Android này có tên Android/Filecoder.C, bắt đầu hoạt động chậm nhất kể từ ngày 12/7/2019. Mã độc được phát tán qua các bài đăng trên diễn đàn Reddit và một diễn đàn dành riêng cho các nhà phát triển Android có tên “XDA Developer”. Nó có thể lây lan rộng hơn bằng tin nhắn SMS chứa các liên kết độc hại và sử dụng danh sách liên lạc của nạn nhân.
Vì phạm vi mục tiêu mã độc này đang nhắm đến chưa rộng rãi và còn tồn tại sơ hở khi thực hiện tấn công, nên mức độ tác động của mã độc tống tiền mới này vẫn còn hạn chế. Tuy nhiên, nếu tin tặc bắt đầu nhắm vào các nhóm người dùng rộng hơn, thì mã độc tống tiền này có thể trở thành mối đe dọa nghiêm trọng.
Tin tặc sẽ gửi các tin nhắn tới danh sách liên lạc của nạn nhân có nội dung thông báo rằng ảnh của họ đã được tìm thấy trong một ứng dụng. Khi người dùng truy cập ứng dụng, mã độc này sẽ mã hóa hầu hết các tệp tin và đòi tiền chuộc.
Hầu hết các diễn đàn và các bài đăng độc hại trên Reddit có nội dung liên quan đến chủ đề nhạy cảm hay công nghệ. Các liên kết cũng có thể được rút gọn, hoặc sử dụng mã QR để trỏ đến mã độc.
Một mẫu tin nhắn có đính kèm liên kết tới mã độc
Để tối đa phạm vi tiếp cận, mã độc tống tiền được thiết kế có tới 42 phiên bản ngôn ngữ khác nhau của mẫu tin nhắn. Trước khi gửi, mã độc sẽ lựa chọn phiên bản ngôn ngữ phù hợp với cài đặt ngôn ngữ trên thiết bị nạn nhân và sử dụng tên chính xác của nạn nhân.
Mã độc chứa thông tin về địa chỉ của máy chủ C&C và địa chỉ Bitcoin được mã hóa cứng (hardcode) trong mã nguồn. Tuy nhiên, tin tặc có thể thay đổi những địa chỉ này bất cứ lúc nào bằng cách sử dụng dịch vụ Pastebin miễn phí. Nếu người dùng xóa ứng dụng có chứa mã độc tống tiền thì các tệp tin sẽ không thể giải mã được.
Theo ESET, dù mã độc tống tiền thông báo rằng dữ liệu bị ảnh hưởng sẽ biến mất sau 72 giờ, nhưng trong mã nguồn của mã độc không cho thấy điều này. Khoản tiền chuộc là tương đối nhỏ, khoảng 94-188 USD. ESET cũng kêu gọi người dùng Android chỉ nên tải xuống các ứng dụng từ cửa hàng Google Play chính thức, luôn cập nhật phiên bản mới nhất của hệ điều hành, chú ý đến quyền mà các ứng dụng yêu cầu và tải phần mềm diệt virus cho các thiết bị di động.
Đỗ Đoàn Kết
Theo Infosecurity
08:00 | 03/07/2019
11:00 | 06/09/2019
08:00 | 10/09/2019
10:00 | 11/09/2019
10:00 | 11/09/2019
11:00 | 08/07/2020
15:00 | 24/10/2019
08:00 | 05/06/2019
13:00 | 19/03/2019
14:00 | 13/09/2019
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024