Trojan Triada được cài đặt sẵn trên những thiết bị Android giá rẻ

09:53 | 22/08/2017 | HACKER / MALWARE

Các nhà nghiên cứu về an ninh tại Dr. Web (Nga) cho biết, một trojan có tên Triada được tích hợp sẵn vào firmware của một số mẫu thiết bị Android giá rẻ.

Trojan Triada được cài đặt sẵn trên những thiết bị Android giá rẻ

Được nhắc đến từ năm 2016, Triada được coi là phần mềm độc hại nguy hiểm nhất trên điện thoại di động, có thể tự tích hợp vào tiến trình lõi Zygote, lây nhiễm trên mọi ứng dụng trong thiết bị. Đầu năm 2017, trojan này đã nhắm tới công nghệ sandbox (đặc biệt là công nghệ mã nguồn mở sandbox DroidPlugin) để tăng khả năng tránh bị phát hiện.

Theo Dr. Web, phần mềm độc hại này hiện được nhúng vào thư viện hệ thống libandroid_runtime.so nên chúng có thể tham gia vào tất cả các tiến trình chạy phần mềm mà không cần đến quyền root của thiết bị. Thư viện đã bị chỉnh sửa ở trên được tìm thấy trên một số thiết bị như: Leagoo M5 Plus, Leagoo M8, Nomu S10, và Nomu S20.

Việc được thực thi trực tiếp trong thư viện hệ thống cho phép mã độc điều khiển quá trình ghi nhật ký hệ thống của các ứng dụng trong thiết bị. Các nhà nghiên cứu cho biết, đối với các thiết bị bị lây nhiễm, lõi Zygote còn cho phép Trojan khởi chạy trước tất cả các ứng dụng khác trong thiết bị.

Ngay sau khi khởi tạo, mã độc tiến hành thiết lập các thông số, tạo một thư mục làm việc, kiểm tra môi trường. Nếu mã độc chạy trong môi trường Dalvik (quá trình ảo hóa trong Android), nó sẽ chặn một tiến trình hệ thống để theo dõi khi các ứng dụng khởi động và nhúng các mã độc vào ứng dụng đó ngay khi khởi động.

Trojan này có thể bí mật chạy thêm các mô đun độc hại để tải xuống các thành phần Trojan khác. Theo các nhà nghiên cứu, cách tiếp cận này có thể được mã độc sử dụng để chạy các plugin độc hại nhằm đánh cắp thông tin bí mật, các chứng chỉ ngân hàng, chạy các mô đun gián điệp hay ngăn chặn các tin nhắn, các thông điệp truyền thông xã hội.

Một mô đun khác của Triada được thiết kế để tải xuống thêm các thành phần độc hại từ Internet và sau khi tải xuống, chúng có thể tương tác được với nhau, mô đun này có thể trích xuất và giải mã được từ libandroid_runtime.so.

Các nhà nghiên cứu về bảo mật khuyến cáo, khi Triada được nhúng vào một trong những thư viện của hệ điều hành và nằm trong phần lõi hệ thống, nó không thể bị xóa hay gỡ bỏ bằng các phương thức thông thường. Phương pháp duy nhất và an toàn để loại bỏ Trojan này là cài đặt một firmware hoàn toàn sạch.

Dr. Web cho biết, họ đã thông báo các vấn đề của mã độc này cho các nhà sản xuất smartphone. Những người dùng được khuyến cáo hãy cài đặt tất cả các bản cập nhật được phát hành cho thiết bị.

‹ › ×

Tin liên quan

Phát hiện phần mềm độc hại OSX/CrescentCore nhắm mục tiêu vào máy Mac

08:00 | 19/07/2019

Ngày 28/6/2019, Các nhà nghiên cứu của Intego (công ty bảo mật phần mềm cho Mac) đã phát hiện phần mềm độc hại OSX/CrescentCore được thiết kế dưới dạng Trojan và ngụy trang các bản cập nhật Flash Player trên trình duyệt. Đáng lưu ý, phần mềm độc hại này còn có các tính năng giúp lẩn tránh các giải pháp chống virus trên hệ điều hành macOS.

Cảnh báo phần mềm độc hại thu thập dữ liệu thiết bị Android

09:00 | 02/04/2021

Mới đây, các nhà nghiên cứu tại zLabs của công ty Zimperium (Hoa Kỳ) đã phát hiện ra phần mềm độc hại mới có khả năng tự ngụy trang dưới dạng Software Update trên thiết bị Android của người dùng.

Tin cùng chuyên mục

Thêm vụ tấn công mã hóa dữ liệu giống VnDirect, tin tặc đòi 140 triệu USD

10:00 | 10/04/2024

Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

AnyDesk bị tấn công mạng

11:00 | 07/02/2024

Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.

Giải mã mạng botnet NoaBot nhắm mục tiêu khai thác tiền điện tử

15:00 | 26/01/2024

Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.