Được gọi là RottenSys, phần mềm độc hại được ngụy trang dưới dạng một ứng dụng “Hệ thống wifi” đã được cài đặt sẵn trên hàng triệu điện thoại thông minh mới được sản xuất bởi Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE.
Tất cả những thiết bị bị ảnh hưởng này đều được vận chuyển qua Tian Pai, nhà phân phối điện thoại di động ở Hàng Châu (Trung Quốc), nhưng các nhà nghiên cứu không chắc chắn công ty này có tham gia trực tiếp vào chiến dịch này hay không.
Theo đánh giá của hãng Check Point, RottenSys là một phần của phần mềm độc hại không cung cấp bất kỳ dịch vụ nào liên quan đến wifi, nhưng hầu như có tất cả các quyền truy cập trên Android để cho phép thực hiện hành vi độc hại.
Các nhà nghiên cứu cho biết, RottenSys bắt đầu lây lan từ tháng 9/2016. Đến ngày 12/3/2018, RottenSys đã lây nhiễm 4.964.460 thiết bị.
Để tránh phát hiện, ứng dụng dịch vụ wifi giả mạo ban đầu không có thành phần độc hại và không thực hiện bất kỳ hoạt động độc hại nào ngay lập tức.
Thay vào đó, RottenSys đã được thiết kế để liên lạc với các máy chủ điều khiển và kiểm soát để có được danh sách các thành phần yêu cầu, chứa mã độc hại thực tế.
Sau đó RottenSys tải xuống và cài đặt mỗi ứng dụng cho phù hợp, sử dụng quyền "DOWNLOAD_WITHOUT_NOTIFICATION" không yêu cầu bất kỳ tương tác người dùng nào.
Tin tặc thu được 115.000 USD trong 10 ngày
Tin tặc đã đẩy một thành phần phần mềm quảng cáo tới tất cả các thiết bị bị lây nhiễm để hiển thị quảng cáo trên màn hình chính, như cửa sổ pop-up hoặc quảng cáo toàn màn hình tạo ra doanh thu từ quảng cáo lừa đảo.
Các nhà nghiên cứu cho biết: trong 10 ngày (tính đến ngày 12/3/2018), RottenSys đã hiển thị 13.250.756 lần quảng cáo và 548.822 trong số đó đã được chuyển sang ad click (người xem phải nhấp chuột vào hiển thị quảng cáo). Phần mềm độc hại đã tạo ra nguồn thu 115.000 USD cho những kẻ tạo ra mã độc.
Vì RottenSys được thiết kế để tải xuống và cài đặt bất kỳ thành phần mới từ máy chủ C&C, kẻ tấn công có thể dễ dàng kiểm soát hàng triệu thiết bị bị lây nhiễm.
Cuộc điều tra cũng tiết lộ một số bằng chứng cho thấy, các kẻ tấn công RottenSys đã bắt đầu chuyển hàng triệu thiết bị bị lây nhiễm thành mạng botnet khổng lồ.
Trong một số thiết bị bị nhiễm độc, người ta đã phát hiện ra thành phần RottenSys mới được cài đặt cho phép kẻ tấn công chiếm quyền sâu hơn, bao gồm cài đặt ứng dụng bổ sung và tự động hóa UI.
Các nhà nghiên cứu cũng lưu ý rằng, một phần của cơ chế kiểm soát botnet được thực hiện trong các Lua script. Nếu không có sự can thiệp, kẻ tấn công có thể tái sử dụng kênh phân phối mã độc hiện có và nắm quyền kiểm soát hàng triệu thiết bị.
Cách thức phát hiện và loại bỏ phần mềm độc hại Android
Để kiểm tra x thiết bị có bị nhiễm phần mềm độc hại không, người dùng vào cài đặt hệ thống Android → Trình quản lý ứng dụng và sau đó tìm tên gói phần mềm độc hại có thể sau đây:
Nếu thấy bất kỳ tên nào bên trong danh sách các ứng dụng đã cài đặt trên, người dùng chỉ cần gỡ cài đặt.
Hồng Loan
Theo The Hacker News
07:00 | 04/05/2020
08:00 | 11/08/2020
09:00 | 23/07/2018
20:00 | 04/02/2019
11:00 | 08/04/2019
10:00 | 29/11/2018
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.
10:00 | 08/05/2024