Phần mềm độc hại Android mới trông giống như trò chơi cổ điển Nintendo

0
27

Người hâm mộ game Nintendo trên hệ điều hành Android hãy cẩn thận. Mới đây, đã xuất hiện một phần mềm độc hại mới trên Android được hiển thị trong cửa hàng ứng dụng của bên thứ ba đội lốt một trò chơi cổ điển Nintendo.

[wp_related_tags type=”single”]

Công ty an ninh mạng Palo Alto Networks cho biết đã phát hiện ra một phần mềm độc hại trông như một phần mềm quảng cáo, những phần mềm này sẽ đánh cắp thông tin cá nhân từ các thiết bị Android bị nhiễm lây nhiễm. Mã độc đó có tên gọi là Gunpoder, nằm ẩn mình trong một ứng dụng chơi game phổ biến.

Mã độc này giả lập hệ thống Nintendo Entertainment (một ứng dụng chạy trò chơi Nintendo cổ điển từ những năm 1980 và đầu những năm 1990 trên điện thoại di động) và có sẵn trong các cửa hàng ứng dụng của bên thứ ba. Mã độc Gunpoder giả lập mở thêm một chức năng thanh toán, chạy phần mềm quảng cáo, và kích hoạt một loạt các tính năng văn bản nhằm thúc đẩy thao tác đăng nhập vào các trò chơi bằng cách sử dụng các danh sách liên lạc trên điện thoại. Kết quả là người chơi game không chỉ trả phí cho ứng dụng mà còn bị đánh cắp thông tin cá nhân không ai ngờ đến.

Mã độc này giả lập hệ thống Nintendo Entertainment
Mã độc này giả lập hệ thống Nintendo Entertainment

Đây là cách mã độc Gunpoder hoạt động: Sau khi tải về, các ứng dụng phục vụ cho người dùng phát ra một thông báo nói rằng đây là phần mềm quảng cáo hỗ trợ. Bằng cách nhấn vào nút lệnh “OK”, người dùng đã đồng ý để một chương trình gọi là Airpush thu thập dữ liệu từ thiết bị của bạn. Airpush là một thư viện thường được sử dụng để đẩy các ứng ứng dụng quảng cáo trên điện thoại di động.  Thư viện này sẽ thu thập rất nhiều thông tin cá nhân từ một thiết bị, bao gồm cả vị trí người dùng, danh sách liên lạc của họ, các trang web được đánh dấu, cũng như thông tin về các thiết bị đang hoạt động.

“Bọn tin tặc phát tán mã độc mong muốn sẽ thu thập nhiều thông tin cá nhân của người dùng và sẽ tiến hành nhiều đợt tấn công khác trong tương lai gần”- Scott Simkin người quản lý mối đe dọa tình báo cấp cao tại công ty an ninh mạng Palo Alto Networks cho biết. Ngoài việc nhắm đến người sử dụng trong các cuộc tấn công tương lai, Simkin còn cho hay, bọn tin tặc có thể sẽ rao bán thông tin người dùng trên các diễn đàn (forum) và các trang web chuyên dụng khác.

Tin tặc phát tán mã độc với mong muốn sẽ thu thập nhiều thông tin cá nhân của người dùng và sẽ tiến hành nhiều đợt tấn công khác trong tương lai gần”
Tin tặc phát tán mã độc với mong muốn sẽ thu thập nhiều thông tin cá nhân của người dùng và sẽ tiến hành nhiều đợt tấn công khác trong tương lai gần”

Sau khi người dùng đồng ý cho phép thu thập dữ liệu của họ, các ứng dụng phát một thông báo yêu cầu người dùng phải mua một “bản quyền suốt đời”. Nếu người dùng đồng ý mua bản quyền, các ứng dụng sẽ thu thập thông tin thanh toán người dùng và thông báo một mức phí phải thanh toán khoảng 0,45 $.

Công ty an ninh mạng Palo Alto Networks nói rằng việc sử dụng Airpush sẽ cho phép mã độc Gunpoder ẩn nấp, tránh bị phát hiện bởi các phần mềm bảo mật chống virus.

Các công ty an ninh mạng đã lấy một số loại virus Gunpoder đưa vào công cụ kiểm tra VirusTotal để phân tích bản chất cũng như khả năng lây nhiễm của mã độc, kết quả kiểm tra cho ra hai chiều hướng khá bất ngờ, một thì đây có thể là mã độc “lành tính”, hai đây là phần mềm quảng cáo. Một báo cáo cho hay.

Công cụ Legacy cũng sẽ không ngăn chặn được các thao tác cài đặt các phần mềm độc hại Gunpoder. Trong một nghiên cứu mẫu, chúng tôi quan sát thấy rằng mã độc Gunpoder có nhiều đặc tính như một phần mềm quảng cáo. Ngoài ra, Gunpoder còn chứa một thư viện phần mềm quảng cáo phổ biến bên trong lập trình của mình, một số tính năng lập trình độc hại hoạt động công khai cũng đã được phát hiện.

Ngoài việc là không thể phát hiện bởi các phần mềm bảo mật chống virus, phần mềm độc hại này cũng đang lan rộng nhanh chóng trên các thiết bị Android. Người sử dụng của trò chơi thuộc hệ thống NES được yêu cầu chia sẻ các ứng dụng với địa chỉ liên lạc của họ thông qua tin nhắn SMS, do đó khả năng lây nhiễm hàng loạt càng diễn ra ở quy mô tràn lan hơn. Đây là điều hết sức lo ngại.

Công ty an ninh mạng Palo Alto Networks cho biết họ đã phát hiện 49 mẫu phần mềm độc hại duy nhất có khả năng đã được triển khai tại một loạt các quốc gia trong đó có Hoa Kỳ, Iraq, Thái Lan, Ấn Độ, Indonesia, Nam Phi, Nga, Pháp, Mexico, Brazil, Saudi Arabia, Ý , và Tây Ban Nha.

Simkin tuyên bố với khách hàng của công ty an ninh mạng Palo Alto Networks rằng phần mềm bảo mật doanh nghiệp của công ty này cũng đang nằm trong tầm ngắm của mã độc Gunpoder. Tuy nhiên, một bộ phận nhỏ số khách hàng khác cho rằng điều này là không thể. Như vậy, để an toàn hơn, dù thế nào đi nữa, để tránh mã độc Gunpoder, người dùng nên tránh tải về các ứng dụng từ các trang web của bên thứ ba. Simkin nói.

Đây là trường hợp thứ hai được phát hiện khi một phần mềm độc hại hoạt động dựa trên mã nguồn của công ty an ninh mạng Palo Alto Networks và mã độc này có xu hướng phát triển và lây lan ở phạm vi rộng.

 Huỳnh Dũng

Theo Venturebeat

LEAVE A REPLY

Please enter your comment!
Please enter your name here