Android Malware sử dụng quy tắc của Firewall nhằm chặn các ứng dụng bảo mật

08:00 | 07/01/2016 | LỖ HỔNG ATTT

Các nhà nghiên cứu của Symantec đã phát hiện ra một loại Android malware mới có thể sử dụng Firewall bằng mã nhị phân DroidWall trên các thiết bị bị xâm phạm để ngăn chặn các ứng dụng bảo mật kết nối tới dịch vụ của thiết bị.

Android Malware sử dụng quy tắc của Firewall nhằm chặn các ứng dụng bảo mật

Được đặt tên là Android.Spywaller bởi Symantec, các malware ban đầu ẩn icon của nó trên menu và sinh ra những file mã hóa chứa mã độc, rồi lưu vào bộ nhớ của điện thoại. Ngay sau khi các malware đã được cài đặt trên thiết bị bị xâm nhập, nó sẽ hiển thị một biểu tượng "Dịch vụ Google" trên thiết bị, mặc dù Google không cung cấp một sản phẩm nào như vậy.

Các malware sau đó cố gắng chiếm quyền quản trị thiết bị và bắt đầu thu thập thông tin nhạy cảm trong khi chạy ở chế độ ngầm. Tất cả các thông tin thu thập được từ các thiết bị sau đó sẽ được gửi đến một máy chủ.

Các nhà nghiên cứu của Symantec lưu ý người dùng rằng, tuy việc thu thập dữ liệu là thường thấy, nhưng loại malware mới này đặc biệt ở chỗ, nó kiểm tra xem ứng dụng bảo mật di động Qihoo 360 có được cài đặt không và nếu thấy thì chặn ứng dụng đó.

Ứng dụng bảo mật Qihoo 360 rất phổ biến ở Trung Quốc và một số nước khác và có một ID duy nhất (UID) trên mỗi thiết bị, malware Android.Spywaller sẽ thu thập ID của ứng dụng bảo mật nếu chương trình đã được cài đặt. Tiếp theo, nó chạy tường lửa nhị phân DroidWall (một phiên bản tùy biến của iptables cho Android). Điều này cho phép nó có thể tạo ra các quy tắc của firewall cho phép chặn các ứng dụng bảo mật bằng cách tham chiếu đến UID của ứng dụng.

Được phát triển bởi Rodrigo Rosauro như là một ứng dụng mã nguồn mở để giúp người dùng bảo vệ thiết bị của họ, DroidWall đã được bán cho hãng Avast trong năm 2011, nhưng mã nguồn của nó vẫn là mã nguồn mở, được công khai trên Google Code và Github. Mặc dù nó đã được thiết kế ban đầu là một công cụ bảo mật, DroidWall vẫn có thể được sử dụng bởi tội phạm mạng để vượt qua ứng dụng bảo mật của người dùng.

Hiện tại, phần mềm độc hại này nhắm mục tiêu vào người dùng ở Trung Quốc, nơi có tỷ lệ rất cao số thiết bị được root và dễ bị nhiễm phần mềm độc hại do các dịch vụ của Google không có ở nước này.

Ngoài việc chặn Qihoo 360, malware cũng cố gắng lấy cắp dữ liệu nhạy cảm từ các thiết bị bị xâm nhập, bao gồm thông tin nhận dạng cá nhân trên hệ thống như nhật ký cuộc gọi, tin nhắn SMS, dữ liệu GPS, dữ liệu trình duyệt hệ thống, email....

Đồng thời, phần mềm gián điệp cũng thu thập dữ liệu thuộc về các ứng dụng thông tin liên lạc bên thứ ba, cụ thể bao gồm cả BlackBerry Messenger, Oovoo, Coco, QQ, SinaWeibo, Skype, Talkbox, TencentWeibo, Voxer, Wechat, WhatsApp, và Zello. Theo Symantec, danh sách các loại dữ liệu được thu thập bởi malware này khiến nó được xếp trong số các phần mềm gián điệp do thám “toàn diện” nhất cho đến nay.

Số lượng “nhiễm bệnh” hiện nay tương đối thấp, nhưng mối đe dọa là rất đáng chú ý vì tác giả của nó sử dụng các công cụ hợp pháp cho mục đích độc hại. Các chuyên gia của Symantec khuyến cáo, để luôn được bảo vệ, người dùng nên sử dụng một giải pháp bảo mật có thể ngăn chặn các nguy cơ nhắm vào thiết bị di động, cập nhật phần mềm bảo mật thường xuyên và chỉ nên cài đặt các ứng dụng từ các nguồn đáng tin cậy.

‹ › ×

Tin liên quan

Giới thiệu về Khung Kiến trúc Chính phủ điện tử Việt Nam

16:55 | 22/09/2015

Cùng với sự phát triển của Chính phủ điện tử (CPĐT), việc xây dựng Kiến trúc CPĐT là hết sức cần thiết, tạo điều kiện cho việc kết nối, liên thông, chia sẻ hạ tầng, thông tin trong CPĐT, tránh sự đầu tư trùng lặp gây lãng phí. Hầu hết các nước có CPĐT phát triển đều hướng tới xây dựng và áp dụng Khung Kiến trúc CPĐT. Khung Kiến trúc CPĐT Việt Nam phiên bản 1.0 do Bộ Thông tin và Truyền thông ban hành ngày 21/4/2015 sẽ được giới thiệu dưới đây.

Ban Cơ yếu Chính phủ và tỉnh Thái Bình thỏa thuận hợp tác trong lĩnh vực giám sát an toàn thông tin

15:46 | 05/02/2015

Ngày 29/1/2015, tại UBND tỉnh đã diễn ra lễ ký kết hợp tác giữa Ban Cơ yếu Chính phủ và UBND tỉnh Thái Bình trong lĩnh vực giám sát an toàn thông tin cho các hệ thông CNTT của Tỉnh (Trung tâm Tích hợp dữ liệu và cơ sở hạ tầng mạng và các ứng dụng công nghệ thông tin dùng chung tỉnh Thái Bình) giai đoạn 2015 - 2020. Đồng chí Nguyễn Ðăng Ðào, Phó trưởng ban Ban Cơ yếu Chính phủ và đồng chí Nguyễn Hoàng Giang, Tỉnh ủy viên, Phó Chủ tịch UBND tỉnh Thái Bình đã tới dự.

Phát triển thiết bị PKI Token an toàn sử dụng trong hệ thống CA

14:08 | 17/12/2015

Thiết bị PKI Token là một thành phần không thể thiếu trong hệ thống chứng thực điện tử, có chức năng đảm bảo an toàn cho việc lưu trữ khóa mật mã và thực thi mật mã của các ứng dụng. Bài viết này giới thiệu về giải pháp nghiên cứu làm chủ hệ điều hành và tích hợp các thuật toán, tham số mật mã có độ an toàn cao vào thiết bị PKI Token trên nền tảng công nghệ thẻ thông minh (smartcard) để triển khai cho hệ thống chứng thực điện tử.

Đầu tư phát triển sản phẩm CNTT trọng điểm, sản phẩm an toàn thông tin

14:35 | 02/04/2015

Thủ tướng Chính phủ vừa phê duyệt Chương trình mục tiêu phát triển ngành công nghiệp CNTT đến năm 2020, tầm nhìn đến năm 2025 (Chương trình).

701 sự cố an ninh mạng được khắc phục trong quý III/2014

16:53 | 09/10/2014

Thông tin từ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ TT&TT cho hay, trong quý III/2014 vừa qua, đơn vị này đã chỉ đạo, điều phối khắc phục tổng cộng 701 sự cố an ninh mạng.

Các tập đoàn công nghệ mở chiến dịch an ninh mới sau vụ Snowden

10:09 | 09/06/2014

Một năm sau ngày cựu nhân viên kỹ thuật của Cơ quan Tình báo trung ương Mỹ (CIA) Edward Snowden tiết lộ về chương trình do thám quy mô lớn của Cơ quan An ninh quốc gia Mỹ (NSA), hàng loạt các tập đoàn công nghệ hàng đầu đã lần lượt công bố các chiến dịch và dự án bảo mật nhằm ngăn chặn mọi hành vi do thám cũng như thúc đẩy quyền riêng tư.

Tin cùng chuyên mục

Tội phạm mạng sử dụng AI để phát tán phần mềm độc hại trong các chiến dịch lừa đảo trên mạng xã hội

10:00 | 22/04/2024

Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.

Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN

16:00 | 15/04/2024

Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.

29 họ phần mềm độc hại nhắm mục tiêu 1.800 ứng dụng ngân hàng trên toàn thế giới

14:00 | 16/01/2024

Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.

Giải mã Ducktail: Phần mềm độc hại có nguồn gốc từ Việt Nam

07:00 | 11/12/2023

Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báo cáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn công Ducktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam.