Được gọi là RottenSys, phần mềm độc hại được ngụy trang dưới dạng một ứng dụng “Hệ thống wifi” đã được cài đặt sẵn trên hàng triệu điện thoại thông minh mới được sản xuất bởi Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE.
Tất cả những thiết bị bị ảnh hưởng này đều được vận chuyển qua Tian Pai, nhà phân phối điện thoại di động ở Hàng Châu (Trung Quốc), nhưng các nhà nghiên cứu không chắc chắn công ty này có tham gia trực tiếp vào chiến dịch này hay không.
Theo đánh giá của hãng Check Point, RottenSys là một phần của phần mềm độc hại không cung cấp bất kỳ dịch vụ nào liên quan đến wifi, nhưng hầu như có tất cả các quyền truy cập trên Android để cho phép thực hiện hành vi độc hại.
Các nhà nghiên cứu cho biết, RottenSys bắt đầu lây lan từ tháng 9/2016. Đến ngày 12/3/2018, RottenSys đã lây nhiễm 4.964.460 thiết bị.
Để tránh phát hiện, ứng dụng dịch vụ wifi giả mạo ban đầu không có thành phần độc hại và không thực hiện bất kỳ hoạt động độc hại nào ngay lập tức.
Thay vào đó, RottenSys đã được thiết kế để liên lạc với các máy chủ điều khiển và kiểm soát để có được danh sách các thành phần yêu cầu, chứa mã độc hại thực tế.
Sau đó RottenSys tải xuống và cài đặt mỗi ứng dụng cho phù hợp, sử dụng quyền "DOWNLOAD_WITHOUT_NOTIFICATION" không yêu cầu bất kỳ tương tác người dùng nào.
Tin tặc thu được 115.000 USD trong 10 ngày
Tin tặc đã đẩy một thành phần phần mềm quảng cáo tới tất cả các thiết bị bị lây nhiễm để hiển thị quảng cáo trên màn hình chính, như cửa sổ pop-up hoặc quảng cáo toàn màn hình tạo ra doanh thu từ quảng cáo lừa đảo.
Các nhà nghiên cứu cho biết: trong 10 ngày (tính đến ngày 12/3/2018), RottenSys đã hiển thị 13.250.756 lần quảng cáo và 548.822 trong số đó đã được chuyển sang ad click (người xem phải nhấp chuột vào hiển thị quảng cáo). Phần mềm độc hại đã tạo ra nguồn thu 115.000 USD cho những kẻ tạo ra mã độc.
Vì RottenSys được thiết kế để tải xuống và cài đặt bất kỳ thành phần mới từ máy chủ C&C, kẻ tấn công có thể dễ dàng kiểm soát hàng triệu thiết bị bị lây nhiễm.
Cuộc điều tra cũng tiết lộ một số bằng chứng cho thấy, các kẻ tấn công RottenSys đã bắt đầu chuyển hàng triệu thiết bị bị lây nhiễm thành mạng botnet khổng lồ.
Trong một số thiết bị bị nhiễm độc, người ta đã phát hiện ra thành phần RottenSys mới được cài đặt cho phép kẻ tấn công chiếm quyền sâu hơn, bao gồm cài đặt ứng dụng bổ sung và tự động hóa UI.
Các nhà nghiên cứu cũng lưu ý rằng, một phần của cơ chế kiểm soát botnet được thực hiện trong các Lua script. Nếu không có sự can thiệp, kẻ tấn công có thể tái sử dụng kênh phân phối mã độc hiện có và nắm quyền kiểm soát hàng triệu thiết bị.
Cách thức phát hiện và loại bỏ phần mềm độc hại Android
Để kiểm tra x thiết bị có bị nhiễm phần mềm độc hại không, người dùng vào cài đặt hệ thống Android → Trình quản lý ứng dụng và sau đó tìm tên gói phần mềm độc hại có thể sau đây:
Nếu thấy bất kỳ tên nào bên trong danh sách các ứng dụng đã cài đặt trên, người dùng chỉ cần gỡ cài đặt.
Hồng Loan
Theo The Hacker News
07:00 | 04/05/2020
08:00 | 11/08/2020
09:00 | 23/07/2018
20:00 | 04/02/2019
11:00 | 08/04/2019
10:00 | 29/11/2018
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024