Lukas Stefanko, nhà nghiên cứu mã độc của công ty ESET cho biết, mã độc tống tiền trên Android này có tên Android/Filecoder.C, bắt đầu hoạt động chậm nhất kể từ ngày 12/7/2019. Mã độc được phát tán qua các bài đăng trên diễn đàn Reddit và một diễn đàn dành riêng cho các nhà phát triển Android có tên “XDA Developer”. Nó có thể lây lan rộng hơn bằng tin nhắn SMS chứa các liên kết độc hại và sử dụng danh sách liên lạc của nạn nhân.
Vì phạm vi mục tiêu mã độc này đang nhắm đến chưa rộng rãi và còn tồn tại sơ hở khi thực hiện tấn công, nên mức độ tác động của mã độc tống tiền mới này vẫn còn hạn chế. Tuy nhiên, nếu tin tặc bắt đầu nhắm vào các nhóm người dùng rộng hơn, thì mã độc tống tiền này có thể trở thành mối đe dọa nghiêm trọng.
Tin tặc sẽ gửi các tin nhắn tới danh sách liên lạc của nạn nhân có nội dung thông báo rằng ảnh của họ đã được tìm thấy trong một ứng dụng. Khi người dùng truy cập ứng dụng, mã độc này sẽ mã hóa hầu hết các tệp tin và đòi tiền chuộc.
Hầu hết các diễn đàn và các bài đăng độc hại trên Reddit có nội dung liên quan đến chủ đề nhạy cảm hay công nghệ. Các liên kết cũng có thể được rút gọn, hoặc sử dụng mã QR để trỏ đến mã độc.
Một mẫu tin nhắn có đính kèm liên kết tới mã độc
Để tối đa phạm vi tiếp cận, mã độc tống tiền được thiết kế có tới 42 phiên bản ngôn ngữ khác nhau của mẫu tin nhắn. Trước khi gửi, mã độc sẽ lựa chọn phiên bản ngôn ngữ phù hợp với cài đặt ngôn ngữ trên thiết bị nạn nhân và sử dụng tên chính xác của nạn nhân.
Mã độc chứa thông tin về địa chỉ của máy chủ C&C và địa chỉ Bitcoin được mã hóa cứng (hardcode) trong mã nguồn. Tuy nhiên, tin tặc có thể thay đổi những địa chỉ này bất cứ lúc nào bằng cách sử dụng dịch vụ Pastebin miễn phí. Nếu người dùng xóa ứng dụng có chứa mã độc tống tiền thì các tệp tin sẽ không thể giải mã được.
Theo ESET, dù mã độc tống tiền thông báo rằng dữ liệu bị ảnh hưởng sẽ biến mất sau 72 giờ, nhưng trong mã nguồn của mã độc không cho thấy điều này. Khoản tiền chuộc là tương đối nhỏ, khoảng 94-188 USD. ESET cũng kêu gọi người dùng Android chỉ nên tải xuống các ứng dụng từ cửa hàng Google Play chính thức, luôn cập nhật phiên bản mới nhất của hệ điều hành, chú ý đến quyền mà các ứng dụng yêu cầu và tải phần mềm diệt virus cho các thiết bị di động.
Đỗ Đoàn Kết
Theo Infosecurity
08:00 | 03/07/2019
11:00 | 06/09/2019
08:00 | 10/09/2019
10:00 | 11/09/2019
10:00 | 11/09/2019
11:00 | 08/07/2020
15:00 | 24/10/2019
08:00 | 05/06/2019
13:00 | 19/03/2019
14:00 | 13/09/2019
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.
10:00 | 08/05/2024