Các chuyên gia về an ninh mạng vừa phát hiện ra một mã độc đang lây lan với tốc độ cực nhanh trên các thiết bị Android. Theo thống kê, đã có gần 5 triệu thiết bị di động trên toàn thế giới bị lây nhiễm loại mã độc này. Bên cạnh đó, các chuyên gia còn cảnh báo về việc tin tặc đang từng bước kiểm soát thiết bị của người dùng nhằm vào những mục đích khủng bố.
Loại mã độc (malware) này được gọi là RottenSys. Nó được ngụy trang dưới dạng một ứng dụng mang tên “Thiết lập Wi-Fi” (System Wi-Fi Services), được cài đặt sẵn trên hàng triệu điện thoại thông minh mới được sản xuất bởi Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE.
Tất cả những thiết bị bị ảnh hưởng đều được vận chuyển qua Tian Pai, nhà phân phối điện thoại di động ở Hangzhou. Tuy nhiên, các chuyên gia vẫn chưa có bằng chứng để chắc rằng liệu công ty này có tham gia trực tiếp vào chiến dịch mã độc này hay không.
Theo thông tin từ đội bảo mật di động Check Point, các chuyên gia đã phát hiện ra mã độc này là một bộ phận của phần mềm độc hại. Nó không cung cấp bất kỳ dịch vụ liên quan đến Wi-Fi nào nhưng lại yêu cầu quyền truy cập dữ liệu Android và quyền hoạt động trên thiết bị.
“Theo như các phát hiện của chúng tôi, mã độc RottenSys bắt đầu phát tán từ tháng 9 năm 2016. Đến ngày 12 tháng 3 năm 2018, RottentSys đã lây nhiễm sang 4.964.460 thiết bị”.
Để tránh sự phát hiện của các phần mềm bảo mật, ứng dụng Wi-Fi giả mạo này ban đầu không chứa mã độc và không bắt đầu hoạt động nào ngay lập tức.
Thay vào đó, RottenSys được thiết kế để liên lạc với các máy chủ điều khiển và kiểm soát (C&C Servers) để tải xuống các ứng dụng chứa mã độc thực sự.
RottenSys ngay sau đó tải xuống và cài đặt ứng dụng cho phù hợp, sử dụng quyền “DOWNLOAD_WITHOUT_NOTIFICATION” mà không yêu cầu bất kỳ tương tác nào từ người dùng.
Tin tặc kiếm được 115.000 USD chỉ trong 10 ngày!
Tại thời điểm này, mã độc này đã đẩy các phần mềm độc hại chạy quảng cáo và tất cả thiết bị lây nhiễm. Chúng hiển thị ngày càng nhiều các quảng cáo trên màn hình chính của thiết bị, như cửa sổ pop-up hoặc quảng cáo toàn màn hình để tạo doanh thu từ quảng cáo lừa đảo.
Các nhà nghiên cứu cho biết: “Trong 10 ngày vừa qua, RottentSys tạo ra mạng lưới quảng cáo cực kỳ hung hãn. Chỉ trong 10 ngày sau đó, mã độc này đã tung ra các quảng cáo lên đến 13.250.756 lần (được gọi là số lần hiển thị trong ngành quảng cáo) và 548.822 trong số đó đã được người dùng nhấp vào.”
Theo các chuyên gia của Check Point, phần mềm độc hại này đã đem lại 115.000 USD chỉ trong 10 ngày cho những kẻ tấn công. Bên cạnh đó, những thiệt hại sẽ còn nghiêm trọng hơn chứ không đơn giản chỉ là đăng những quảng cáo.
RottenSys đã được thiết kế để có thể tải xuống và cài đặt bất kỳ lệnh thực thi nào từ máy chủ C&C. Vì vậy, kẻ tấn công có thể dễ dàng tấn công và kiểm soát hàng triệu thiết bị đã lây nhiễm mã độc này.
Cuộc điều tra cũng tiết lộ một số bằng chứng cho thấy các kẻ tấn công RottenSys đã bắt đầu thiết lập hàng triệu thiết bị nhiễm bệnh thành mạng botnet khổng lồ.
Một số thiết bị nhiễm bệnh được tìm thấy đã cài đặt phần mở rộng của RottenSys. Nó cho phép kẻ tấn công có khả năng can thiệp sâu hơn vào thiết bị, bao gồm cài đặt ứng dụng bổ sung và tự động hóa UI.
Các nhà nghiên cứu lưu ý rằng: “Đáng ngạc nhiên rằng một phần của cơ chế kiểm soát botnet này được thực hiện giống như trong kịch bản tấn công Lua. Nếu không có sự can thiệp từ an ninh mạng, những kẻ tấn công có thể tái sử dụng các kênh phân phối mã độc hiện có và nắm quyền kiểm soát hàng triệu thiết bị.”
Đây không phải là lần đầu tiên các nhà nghiên cứu Check Point phát hiện ra cuộc tấn công chuỗi cung ứng của các thương hiệu lớn. Năm ngoái, các chuyên gia đã phát hiện ra smartphone thuộc hãng Samsung, LG,Xiaomi, Asus, Nexus, Oppo và Lenovo đã bị nhiềm hai phần mềm độc hại được cài đặt sẵn là Loki Trojan và SLocker Mobile Ransomware được thiết kế để theo dõi người dùng.
Làm thế nào để phát hiện và loại bỏ phần mềm độc hại Android?
Để kiểm tra xem thiết bị của bạn có bị nhiễm phần mềm độc hại này hay không, hãy đi đến Cài đặt hệ thống Android (Android System Settings), chọn Trình quản lý ứng dụng (App Manager) và tìm tên gói phần mềm độc hại có thể tồn tại sau đây:
android.yellowcalendar (每日 黄 历)
changmi.launcher (畅 米 桌面)
android.services.securewifi (系统 WIFI 服务)
system.service.zdsgt
Nếu có bất kỳ phần mềm độc hại nào bên trên xuất hiện, người dùng chỉ cần gỡ cài đặt. Ngoài ra, người dùng có thể sử dụng các trình antivirus như Trend Micro Mobile Security để kiểm tra thiết bị của mình.