Mã độc MilkyDoor biến điện thoại thành cửa hậu di động

08:52 | 09/05/2017 | HACKER / MALWARE

Trend Micro vừa đưa ra cảnh báo về một mã độc mới có thể biến thiết bị di động sử dụng hệ điều hành Android thành các cửa hậu di động, cho phép tin tặc truy cập vào mạng mà người dùng kết nối.

Mã độc MilkyDoor biến điện thoại thành cửa hậu di động

Mã độc này có tên là MilkyDoor, về bản chất, các điện thoại, máy tính bảng Android bị nhiễm mã độc sẽ hoạt động như các máy chủ trung gian (proxy servers) kết nối vào các mạng hợp pháp bằng các C&C server qua giao thức Socket Secure (SOCKS), từ đó cho phép kẻ xấu tiếp cận vào dữ liệu.

Theo The CyberSecurity Source, báo cáo của Trend Micro cho biết hãng đã phát hiện ra mã độc tồn tại trong khoảng 200 ứng dụng Android, mỗi ứng dụng đã được cài đặt từ 500.000 đến 1 triệu lần trên Google Play. Những ứng dụng này là sách thiếu nhi, ứng dụng vẽ, hướng dẫn thời trang và những ứng dụng giải trí khác. Trend Mirco cho biết thêm, những ứng dụng hợp pháp này đã bị tội phạm mạng đóng gói lại và gắn mã độc, sau đó tái xuất bản trên Google Play. Google đã xóa những ứng dụng này sau khi Trend Micro thông báo riêng cho họ.

Loại mã độc này đặc biệt nguy hiểm với các doanh nghiệp, bởi nó được xây dựng nhằm tấn công mạng nội bộ của các công ty, tấn công các máy chủ riêng và dữ liệu trên đó. Mã độc cho phép tin tặc xâm nhập vào các web dịch vụ của doanh nghiệp, truy cập vào FTP và SMTP, đồng thời có thể quét được địa chỉ IP nội bộ nhằm tìm ra những máy chủ dễ bị tấn công.

Về mặt kỹ thuật thì mã độc MilkyDoor cùng họ với dòng mã độc DressCode, cả hai đều dựa vào giao thức SOCKS để kết nối từ điện thoại vào mạng. Tuy nhiên, Trend Micro cho rằng MilkyDoor tinh vi và nguy hiểm hơn vì mã độc này dùng SSH nên những hành vi của nó bị trộn lẫn vào các lưu lượng mạng “sạch”. Do SSH dùng cổng 22 nên các hệ thống tường lửa thường sẽ không chặn lưu lượng qua cổng này. Hơn nữa, các quản trị mạng cũng sẽ không phát hiện ra việc giao tiếp với các C&C server do dữ liệu qua SSH đã được mã hóa.

Các ứng dụng bị nhiễm độc cũng không gây nghi ngờ với nạn nhân, bởi chúng hoạt động hoàn hảo và không yêu cầu thêm quyền gì khác thường (như yêu cầu truy cập mạng).

Trend Micro cho rằng, phiên bản mới nhất của mã độc này đã được đưa ra từ tháng 8/2016, MilkyDoor có thể được dùng để tạo ra lưu lượng ảo và thu lợi qua các chiến dịch gian lận.

Để bảo vệ các doanh nghiệp trước mối nguy hiểm này, Trend Micro cảnh báo người dùng phải cảnh giác trước các ứng dụng đáng ngờ và luôn cập nhật hệ điều hành. Đồng thời, các quản trị mạng nên giám sát chặt và hạn chế quyền của nhân viên dùng thiết bị di động kết nối vào hệ thống công ty và cần xây dựng tiến trình vá lỗ hổng hữu hiệu.

‹ › ×

Tin liên quan

Thách thức trong bảo mật di động

14:00 | 12/09/2018

Trong những năm gần đây, sự phổ biến của các thiết bị di động như điện thoại thông minh và máy tính bảng đã mang lại cho người dùng nhiều tiện lợi và khả năng dễ dàng sử dụng kết nối Internet mọi lúc, mọi nơi. Theo báo cáo của Hiệp hội Di động Toàn cầu (GSMA), cuối năm 2017, thế giới đã vượt qua mốc hơn 5 tỷ người sử dụng thiết bị di động. Tuy nhiên, việc sử dụng các thiết bị di động cũng rộng phạm vi dễ bị tổn thương trong các cuộc tấn công, bởi đây là một trong những liên kết yếu nhất trong cơ sở hạ tầng công nghệ thông tin của hầu hết các tổ chức/doanh nghiệp (TC/DN). Việc nhận thức rõ những mối đe dọa về an toàn đối với thiết bị di động sẽ giúp người dùng (cá nhân và tổ chức) tìm được các biện pháp đảm bảo an ninh an toàn trong môi trường di động.

Tin cùng chuyên mục

Bắt giữ 37 nghi phạm trong đường dây dịch vụ lừa đảo trực tuyến

14:00 | 24/04/2024

Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.

Chính phủ Pháp bị tấn công mạng

16:00 | 15/03/2024

Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.

Tin tặc lợi dụng khai thác MultiLogin của Google để chiếm quyền điều khiển phiên người dùng

10:00 | 31/01/2024

Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.

Hơn 100 tổ chức của Israel bị tấn công làm rò rỉ dữ liệu

09:00 | 09/01/2024

Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.