Lukas Stefanko, nhà nghiên cứu mã độc của công ty ESET cho biết, mã độc tống tiền trên Android này có tên Android/Filecoder.C, bắt đầu hoạt động chậm nhất kể từ ngày 12/7/2019. Mã độc được phát tán qua các bài đăng trên diễn đàn Reddit và một diễn đàn dành riêng cho các nhà phát triển Android có tên “XDA Developer”. Nó có thể lây lan rộng hơn bằng tin nhắn SMS chứa các liên kết độc hại và sử dụng danh sách liên lạc của nạn nhân.
Vì phạm vi mục tiêu mã độc này đang nhắm đến chưa rộng rãi và còn tồn tại sơ hở khi thực hiện tấn công, nên mức độ tác động của mã độc tống tiền mới này vẫn còn hạn chế. Tuy nhiên, nếu tin tặc bắt đầu nhắm vào các nhóm người dùng rộng hơn, thì mã độc tống tiền này có thể trở thành mối đe dọa nghiêm trọng.
Tin tặc sẽ gửi các tin nhắn tới danh sách liên lạc của nạn nhân có nội dung thông báo rằng ảnh của họ đã được tìm thấy trong một ứng dụng. Khi người dùng truy cập ứng dụng, mã độc này sẽ mã hóa hầu hết các tệp tin và đòi tiền chuộc.
Hầu hết các diễn đàn và các bài đăng độc hại trên Reddit có nội dung liên quan đến chủ đề nhạy cảm hay công nghệ. Các liên kết cũng có thể được rút gọn, hoặc sử dụng mã QR để trỏ đến mã độc.
Một mẫu tin nhắn có đính kèm liên kết tới mã độc
Để tối đa phạm vi tiếp cận, mã độc tống tiền được thiết kế có tới 42 phiên bản ngôn ngữ khác nhau của mẫu tin nhắn. Trước khi gửi, mã độc sẽ lựa chọn phiên bản ngôn ngữ phù hợp với cài đặt ngôn ngữ trên thiết bị nạn nhân và sử dụng tên chính xác của nạn nhân.
Mã độc chứa thông tin về địa chỉ của máy chủ C&C và địa chỉ Bitcoin được mã hóa cứng (hardcode) trong mã nguồn. Tuy nhiên, tin tặc có thể thay đổi những địa chỉ này bất cứ lúc nào bằng cách sử dụng dịch vụ Pastebin miễn phí. Nếu người dùng xóa ứng dụng có chứa mã độc tống tiền thì các tệp tin sẽ không thể giải mã được.
Theo ESET, dù mã độc tống tiền thông báo rằng dữ liệu bị ảnh hưởng sẽ biến mất sau 72 giờ, nhưng trong mã nguồn của mã độc không cho thấy điều này. Khoản tiền chuộc là tương đối nhỏ, khoảng 94-188 USD. ESET cũng kêu gọi người dùng Android chỉ nên tải xuống các ứng dụng từ cửa hàng Google Play chính thức, luôn cập nhật phiên bản mới nhất của hệ điều hành, chú ý đến quyền mà các ứng dụng yêu cầu và tải phần mềm diệt virus cho các thiết bị di động.
Đỗ Đoàn Kết
Theo Infosecurity
08:00 | 03/07/2019
11:00 | 06/09/2019
08:00 | 10/09/2019
10:00 | 11/09/2019
10:00 | 11/09/2019
11:00 | 08/07/2020
15:00 | 24/10/2019
08:00 | 05/06/2019
13:00 | 19/03/2019
14:00 | 13/09/2019
07:00 | 14/10/2024
Mới đây, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ Thông tin và Truyền thông) đã cảnh báo các chiến dịch tấn công mạng nguy hiểm nhắm vào các tổ chức và doanh nghiệp. Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin nhạy cảm và phá hoại hệ thống.
07:00 | 27/09/2024
Tổng cộng 6 triệu mã số định danh người nộp thuế Indonesia đã bị rò rỉ và rao bán công khai với giá 10.000 USD. Ngoài mã số định danh người nộp thuế, dữ liệu bị rò rỉ bao gồm mã số định danh quốc gia, email, địa chỉ, số điện thoại và thông tin cá nhân khác.
14:00 | 11/09/2024
Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.
09:00 | 09/08/2024
Theo thông báo được Thủ tướng Pháp Gabriel Attal đưa ra ngày 31/7, Cơ quan An ninh nước này đã phát hiện và ngăn chặn hàng chục vụ tấn công mạng liên quan đến Olympic Paris 2024.
Công ty an ninh mạng VulnCheck (Mỹ) vừa qua đã lên tiếng cảnh báo rằng, tin tặc có thể đang khai thác một lỗ hổng bảo mật nghiêm trọng trên các máy chủ ProjectSend, vốn đã được vá cách đây khoảng một năm.
10:00 | 04/12/2024