Mazar BOT có thể phá hủy điện thoại Android

08:42 | 25/02/2016 | HACKER / MALWARE

Một khuynh hướng tấn công mới có xu hướng trích xuất trái phép thông tin và xóa sổ hoàn toàn thông tin trên điện thoại của người dùng đang lan rộng thông qua những tin nhắn văn bản ngẫu nhiên.

Mazar BOT có thể phá hủy điện thoại Android

Các chuyên gia của hãng bảo mật Heimdal Security (Đan Mạch) đã phát hiện Mazar BOT Android malware, ngoài việc là một loại malware lạ, nó có thể được tăng quyền kiểm soát thiết bị do người dùng vô tình cung cấp cho nó. Điều này cho phép Mazar BOT có khả năng làm hầu như bất cứ điều gì với điện thoại của nạn nhân.

Malware này cũng có thể đọc tin nhắn SMS trên thiết bị, đồng nghĩa với việc nó có thể lấy được các mã xác thực được gửi tới thiết bị của người dùng từ các ứng dụng ngân hàng trực tuyến và các trang web thương mại điện tử (một phần của cơ chế xác thực thanh toán trực tuyến, chuyển khoản...)

Quá trình tấn công bắt đầu với một tin nhắn: "Bạn đã nhận được tin nhắn đa phương tiện từ + [Mã quốc gia] [số người gửi] Thực hiện theo các liên kết http: [.] //www.mmsforyou Mms.apk Net / để xem tin nhắn."

Sau đó, file apk trong link trên sẽ được chạy, đồng nghĩa với việc Mazar BOT sẽ chiếm được quyền quản trị cao nhất trên thiết bị của nạn nhân. APK này cũng tải TOR (phần mềm có chức năng xóa dấu vết, ẩn địa chỉ [IP] xuất xứ của máy truy cập Internet khi gửi/nhận thông tin qua mạng Internet) về và cài đặt nó trên điện thoại của nạn nhân. Sau đó sử dụng trình duyệt giấu tên để kết nối đến máy chủ kiểm soát.

Từ đó, những kẻ tấn công có thể làm bất kỳ điều gì, bao gồm cả thu thập dữ liệu, theo dõi địa điểm, theo dõi tin nhắn và các cuộc gọi, thậm chí xóa tất cả mọi thứ hoàn toàn khỏi điện thoại của nạn nhân. Những kẻ tấn công cũng có thể làm những việc như gửi tin nhắn SMS đến các số dự đoán trúng thưởng, tăng tiền hóa đơn điện thoại của nạn nhân.

Các chuyên gia của Heimdal lưu ý rằng, những kẻ tấn công đứng sau Mazar BOT cũng thực hiện các proxy Polipo, được sử dụng để lưu cache các trang web nhằm truy cập ngoại tuyến, thực hiện nhiều hoạt động khác. Thông qua proxy này, tội phạm mạng có thể thay đổi lịch sử giao thông của chủ nhân thiết bị và xen vào quá trình gửi nhận dữ liệu giữa điện thoại của nạn nhân và dịch vụ web theo dõi giao thông, đây là bước đệm cho phép thực hiện một cuộc tấn công man-in-the-middle.

Điều đáng chú ý là malware này không tấn công người Nga. Andra Zaharia, chuyên gia an ninh tại Heimdal Security, cho biết "Nhóm chúng tôi ngạc nhiên khi thấy rằng malware này không thể cài đặt trên điện thoại Android sử dụng tùy chọn ngôn ngữ tiếng Nga". Mazar BOT sẽ kiểm tra điện thoại để xác định quốc gia của nạn nhân và lập tức dừng tiến trình chạy ứng dụng độc hại nếu điện thoại bị tấn công được sở hữu bởi một người dùng Nga".

Hiện nay, Mazar BOT đã được rao bán trên một số trang web đen, đây là lần đầu tiên malware này được sử dụng trong các cuộc tấn công an ninh mạng. "Những kẻ tấn công khác có thể mua loại malware này để thử nghiệm loại hình tấn công của nó nhằm cải thiện phương pháp giúp đạt được mục tiêu cuối cùng của chúng. Chúng ta chỉ có thể chờ đợi loại malware này mở rộng phạm vi tấn công để hiểu hơn về nó, cũng vì khả năng của nó vẫn còn khá bí ẩn. Nguyên nhân là bởi nó sử dụng TOR để ẩn thông tin liên lạc của kẻ tấn công - sản phẩm do CIA tạo ra, nó hoàn hảo tới mức chính những người tạo ra nó cũng chưa có cách nào phá giải" Zaharia nói.

‹ › ×

Tin liên quan

Lỗ hổng bảo mật nghiêm trọng trong windows

08:05 | 17/05/2016

Mới đây, nhà nghiên cứu Casey Smith đã phát hiện lỗ hổng nghiêm trọng trong hệ điều hành Windows, cho phép chạy ứng dụng hệ thống không cần quyền admin.

Toàn văn phát biểu của Thủ tướng Nguyễn Tấn Dũng tại Hội nghị Cấp cao ASEAN lần thứ 24

14:05 | 13/05/2014

Tạp chí An toàn thông tin trân trọng giới thiệu toàn văn phát biểu của Thủ tướng Chính phủ Nguyễn Tấn Dũng tại Hội nghị Cấp cao ASEAN lần thứ 24 tại Myanmar.

Tình hình tấn công mạng năm 2016

15:06 | 19/01/2017

Năm 2016 tình hình tấn công mạng trên thế giới và trong nước đều gia tăng đáng kể, có diễn biến rất phức tạp và khó đoán trước. Dưới đây, Tạp chí An toàn thông tin điểm lại tình hình tấn công mạng đã diễn ra trong năm 2016, với những sự kiện tiêu biểu.

HP Tipping point phát hiện và ngăn chặn các mối đe dọa tiên tiến

15:08 | 15/12/2015

Tấn công có tổ chức sử dụng phương tiện, công cụ thông minh để đánh cắp các thông tin có giá trị, bí mật quốc gia... thông qua các mối đe dọa tiên tiến và tấn công có chủ đích (Advanced threats and targeted attacks) ngày càng tăng lên, đòi hỏi phải có những giải pháp an toàn mới.

Top 11 hội nghị về An toàn mạng năm 2016 trên thế giới

00:00 | 27/01/2017

Bài báo này giới thiệu về 11 hội nghị hàng đầu về An toàn thông tin được diễn ra trong năm 2016 trên thế giới.

Tin cùng chuyên mục

Thế vận hội Paris 2024 sẵn sàng đối phó với thách thức an ninh mạng

08:00 | 17/05/2024

Thế vận hội Paris 2024 đang chuẩn bị để sẵn sàng đối mặt với thách thức chưa từng có về mặt an ninh mạng, với việc các nhà tổ chức dự kiến sẽ phải chịu áp lực rất lớn đối với Thế vận hội vào mùa hè này.

Phân tích chiến dịch khai thác lỗ hổng Windows SmartScreen để phân phối phần mềm độc hại DarkGate

07:00 | 08/04/2024

Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.

Khám phá Trojan ngân hàng Coyote

07:00 | 11/03/2024

Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.