Phần mềm độc hại được cài sẵn trên 5 triệu điện thoại Android

Các nhà nghiên cứu bảo mật đã phát hiện ra một chiến dịch mã độc lớn đang phát triển liên tục và đã lây nhiễm gần 5 triệu thiết bị di động trên toàn thế giới.

Được gọi là RottenSys, phần mềm độc hại được ngụy trang dưới dạng một ứng dụng ‘Hệ thống Wi-Fi’ đã được cài đặt sẵn trên hàng triệu điện thoại thông minh mới được sản xuất bởi Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE.

Tất cả những thiết bị bị ảnh hưởng này đều được vận chuyển qua Tian Pai, nhà phân phối điện thoại di động ở Hangzhou nhưng các nhà nghiên cứu không chắc liệu công ty này có tham gia trực tiếp vào chiến dịch này hay không.

Theo đội bảo mật di động Check Point, người đã phát hiện ra chiến dịch này, RottenSys là một phần của phần mềm độc hại không cung cấp bất kỳ dịch vụ liên quan đến Wi-Fi an toàn nào nhưng hầu như tất cả các quyền truy cập Android nhạy cảm đều cho phép nó hoạt động.

“Theo các phát hiện của chúng tôi, phần mềm độc hại của RottenSys bắt đầu lan truyền vào tháng 9 năm 2016. Đến ngày 12 tháng 3 năm 2018, RottenSys đã bị nhiễm 4.964.460 thiết bị”, các nhà nghiên cứu cho biết.

Để tránh phát hiện, ứng dụng dịch vụ Wi-Fi giả mạo ban đầu không có thành phần độc hại và không bắt đầu bất kỳ hoạt động độc hại nào ngay lập tức. Thay vào đó, RottenSys đã được thiết kế để liên lạc với các máy chủ điều khiển và kiểm soát để có được danh sách các thành phần chứa mã độc hại thực tế.

RottenSys tự động tải xuống và cài đặt mỗi ứng dụng cho phù hợp, sử dụng quyền “DOWNLOAD_WITHOUT_NOTIFICATION” mà không yêu cầu bất kỳ tương tác nào của người dùng.

Tại thời điểm này, chiến dịch chống malware lớn đã đẩy một thành phần phần mềm quảng cáo tới tất cả các thiết bị bị nhiễm bệnh để hiển thị quảng cáo trên màn hình chính của thiết bị, như cửa sổ pop-up hoặc quảng cáo toàn màn hình tạo ra doanh thu quảng cáo cho các tin tặc.

Theo các nhà nghiên cứu của CheckPoint, phần mềm độc hại đã đem lại cho các tác giả của nó kiếm hơn 115.000 USD trong 10 ngày vừa qua.

Vì RottenSys đã được thiết kế để tải xuống và cài đặt bất kỳ thành phần mới từ máy chủ C & C, kẻ tấn công có thể dễ dàng kiểm soát hàng triệu thiết bị bị nhiễm bệnh.

Cuộc điều tra cũng tiết lộ một số bằng chứng cho thấy các kẻ tấn công RottenSys đã bắt đầu chuyển hàng triệu thiết bị bị nhiễm bệnh thành mạng botnet khổng lồ.

Một số thiết bị bị nhiễm đã được tìm thấy cài đặt thành phần RottenSys mới cho phép kẻ tấn công có khả năng sâu rộng hơn, bao gồm cài đặt ứng dụng bổ sung và tự động hóa UI.

Các nhà nghiên cứu lưu ý rằng: “Thật thú vị, một phần của cơ chế kiểm soát botnet được thực hiện trong các kịch bản Lua. Nếu không có sự can thiệp, những kẻ tấn công có thể tái sử dụng kênh phân phối malware hiện có và nắm quyền kiểm soát hàng triệu thiết bị.

Làm thế nào để phát hiện và loại bỏ phần mềm độc hại trên Android?

Để kiểm tra xem thiết bị của bạn có bị nhiễm phần mềm độc hại này hay không, hãy đi tới cài đặt hệ thống Android → Trình quản lý ứng dụng và sau đó tìm tên gói phần mềm độc hại có thể sau đây:

  • com.android.yellowcalendar (每日 黄 历)
  • com.changmi.launcher (畅 米 桌面)
  • com.android.services.securewifi (系统 WIFI 服务)
  • com.system.service.zdsgt

Nếu bất kỳ bên trên nằm trong danh sách các ứng dụng đã cài đặt của bạn, chỉ cần gỡ cài đặt.


Nguồn : kenhtao.net

Bài viết mới nhất

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *