Mã độc tống tiền trên Android lây lan qua SMS và Reddit

09:00 | 26/08/2019 | HACKER / MALWARE

Mới đây, các nhà nghiên cứu của Công ty An ninh mạng ESET (có trụ sở chính tại Slovakia) đã cảnh báo về một mã độc tống tiền nguy hiểm trên hệ điều hành Android, lây lan qua các liên kết độc hại trong tin nhắn SMS và các bài đăng trên diễn đàn Reddit.

Mã độc tống tiền trên Android lây lan qua SMS và Reddit

Lukas Stefanko, nhà nghiên cứu mã độc của công ty ESET cho biết, mã độc tống tiền trên Android này có tên Android/Filecoder.C, bắt đầu hoạt động chậm nhất kể từ ngày 12/7/2019. Mã độc được phát tán qua các bài đăng trên diễn đàn Reddit và một diễn đàn dành riêng cho các nhà phát triển Android có tên “XDA Developer”. Nó có thể lây lan rộng hơn bằng tin nhắn SMS chứa các liên kết độc hại và sử dụng danh sách liên lạc của nạn nhân.

Vì phạm vi mục tiêu mã độc này đang nhắm đến chưa rộng rãi và còn tồn tại sơ hở khi thực hiện tấn công, nên mức độ tác động của mã độc tống tiền mới này vẫn còn hạn chế. Tuy nhiên, nếu tin tặc bắt đầu nhắm vào các nhóm người dùng rộng hơn, thì mã độc tống tiền này có thể trở thành mối đe dọa nghiêm trọng.

Tin tặc sẽ gửi các tin nhắn tới danh sách liên lạc của nạn nhân có nội dung thông báo rằng ảnh của họ đã được tìm thấy trong một ứng dụng. Khi người dùng truy cập ứng dụng, mã độc này sẽ mã hóa hầu hết các tệp tin và đòi tiền chuộc.

Hầu hết các diễn đàn và các bài đăng độc hại trên Reddit có nội dung liên quan đến chủ đề nhạy cảm hay công nghệ. Các liên kết cũng có thể được rút gọn, hoặc sử dụng mã QR để trỏ đến mã độc.

Một mẫu tin nhắn có đính kèm liên kết tới mã độc

Để tối đa phạm vi tiếp cận, mã độc tống tiền được thiết kế có tới 42 phiên bản ngôn ngữ khác nhau của mẫu tin nhắn. Trước khi gửi, mã độc sẽ lựa chọn phiên bản ngôn ngữ phù hợp với cài đặt ngôn ngữ trên thiết bị nạn nhân và sử dụng tên chính xác của nạn nhân.

Mã độc chứa thông tin về địa chỉ của máy chủ C&C và địa chỉ Bitcoin được mã hóa cứng (hardcode) trong mã nguồn. Tuy nhiên, tin tặc có thể thay đổi những địa chỉ này bất cứ lúc nào bằng cách sử dụng dịch vụ Pastebin miễn phí. Nếu người dùng xóa ứng dụng có chứa mã độc tống tiền thì các tệp tin sẽ không thể giải mã được.

Theo ESET, dù mã độc tống tiền thông báo rằng dữ liệu bị ảnh hưởng sẽ biến mất sau 72 giờ, nhưng trong mã nguồn của mã độc không cho thấy điều này. Khoản tiền chuộc là tương đối nhỏ, khoảng 94-188 USD. ESET cũng kêu gọi người dùng Android chỉ nên tải xuống các ứng dụng từ cửa hàng Google Play chính thức, luôn cập nhật phiên bản mới nhất của hệ điều hành, chú ý đến quyền mà các ứng dụng yêu cầu và tải phần mềm diệt virus cho các thiết bị di động.

Đỗ Đoàn Kết

Theo Infosecurity

‹ › ×

Tin liên quan

Florida chi trả 600.000 USD để khôi phục hệ thống máy tính bị tấn công mã độc tống tiền

08:00 | 03/07/2019

Hội đồng Thành phố Florida (Mỹ) đã chi trả 600.000 USD để lấy lại quyền kiểm soát hệ thống máy tính sau ba tuần bị tin tặc tấn công bằng mã độc tống tiền.

Phát hiện mã độc trong ứng dụng CamScanner trên Android

11:00 | 06/09/2019

Mới đây, hãng bảo mật Kapersky đã cảnh báo người dùng về mã độc được ẩn trong ứng dụng phổ biến CamScanner trên Android với hơn 100 triệu lượt tải. Khi bị nhiễm mã độc, thiết bị của nạn nhân sẽ hiển thị quảng cáo hoặc tự động đăng ký các gói trả phí mà người dùng không hề hay biết.

Hơn 1.300 ứng dụng Android thu thập trái phép dữ liệu người dùng

08:00 | 10/09/2019

Các nhà nghiên cứu đã phát hiện ra hơn 1.300 ứng dụng trên hệ điều hành Android thu thập trái phép dữ liệu người dùng. Những dữ liệu này bao gồm thông tin về vị trí địa lý, mã nhận dạng điện thoại và nhiều thông tin nhạy cảm khác.

Phát hiện mã độc tống tiền nhắm tới người chơi Fortnite

10:00 | 11/09/2019

Các nhà nghiên cứu bảo mật của công ty cung cấp các giải pháp an toàn mạng Cyren (trụ sở chính tại Mỹ) đã phát hiện ra một họ mã độc tống tiền mới dựa trên phần mềm độc hại nguồn mở Hidden-Cry, nhắm đến người chơi Fortnite.

Ứng dụng Android độc hại xuất hiện hai lần trên Google Play

10:00 | 11/09/2019

Nghiên cứu của công ty an ninh mạng ESET (trụ sở chính tại Slovakia) đã phát hiện ra trường hợp đầu tiên của mã độc gián điệp Android dựa trên công cụ gián điệp nguồn mở AhMyth. Mã độc này ẩn giấu trong một ứng dụng radio đã xuất hiện hai lần trên cửa hàng Google Play.

OSX.ThiefQuest - Mã độc tống tiền nhắm vào người dùng Mac

11:00 | 08/07/2020

Các chuyên gia an ninh mạng đã phát hiện một loại mã độc tống tiền mới trên hệ điều hành Mac OS với tên gọi là OSX.ThiefQuest. Mã độc này có khả năng chiếm quyền điều khiển máy tính nạn nhân, mã hóa các tệp tin quan trọng để đòi tiền chuộc. Hiện loại mã độc này đang được lan truyền phổ biến trên các torrent Internet tại Nga.

5 lưu ý đối với doanh nghiệp để phòng chống mã độc tống tiền

15:00 | 24/10/2019

Mối đe dọa về mã độc tống tiền ngày càng gia tăng với hình thức tinh vi hơn. Vậy phải làm thế nào để doanh nghiệp có thể bảo vệ tổ chức khỏi mối đe dọa về mã độc tống tiền?

Việt Nam đứng đầu ASEAN về nguy cơ mã độc tống tiền

08:00 | 05/06/2019

Với tỷ lệ 18,9%, Việt Nam là quốc gia đứng đầu ASEAN về nguy cơ lây nhiễm mã độc tống tiền, xếp trên Indonesia và Phillipines.

Cảnh báo mã độc tống tiền qua email giả mạo Bộ Công an

13:00 | 19/03/2019

Mới đây, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam vừa phát lệnh cảnh báo mã độc tống tiền GandCrab 5.2. Đáng chú ý, tại Việt Nam, mã độc này được phát tán bằng hình thức giả mạo email của Bộ Công an Việt Nam với tiêu đề “Goi trong Cong an Nhan dan Viet Nam”.

Cách xem lại mật khẩu đã lưu trên Chrome của Android

14:00 | 13/09/2019

Trình duyệt hrome thường hiển thị hộp thoại lưu mật khẩu khi người dùng đăng nhập vào các trang web. Người dùng có thể truy cập, xóa bỏ và trích xuất các tài khoản, mật khẩu đã lưu này thông qua trình duyệt của thiết bị di động. Bài báo này hướng dẫn người dùng cách quản lý mật khẩu trên trình duyệt Chrome sử dụng hệ điều hành Android.

Tin cùng chuyên mục

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.

Lỗ hổng nghiêm trọng trong Jenkins dẫn đến thực thi mã từ xa

09:00 | 01/02/2024

Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.

Tấn công lừa đảo qua email về tiền điện tử: Đánh cắp từ ví nóng và ví lạnh

09:00 | 10/01/2024

Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.