Tìm thấy mã độc cài sẵn trên 5 triệu điện thoại Android

Các chuyên gia bảo mật đã phát hiện một chiến dịch lây lan mã độc lớn đang phát triển với tốc độ đáng kinh ngạc và đã lây nhiễm gần 5 triệu thiết bị di động trên toàn thế giới.

Mã độc mang tên RottenSys là một phần mềm độc hại được nguỵ trang dưới dạng một ứng dụng Hệ thống Wi-Fi đã được cài đặt sẵn trên hàng triệu điện thoại thông minh mới được sản xuất bởi Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE – đã được thêm vào trong khâu nào đó của chuỗi cung ứng.

Tất cả những thiết bị bị lây nhiễm này đều được vận chuyển bởi Tian Pai, một nhà phân phối điện thoại di động ở Hangzhou, nhưng các chuyên gia vẫn chưa có bằng chứng xác thực liệu công ty này có tham gia trực tiếp vào chiến dịch này hay không.

Theo thông tin từ đội trưởng đội bảo mật di động Check Point, người phát hiện ra chiến dịch này thì, RottenSys là một phần nâng cao của mã độc, không hề cung cấp bất kỳ dịch vụ nào liên quan đến bảo mật Wi-Fi nhưng lại chiếm tất cả các quyền truy cập nhạy cảm trong Android để cho phép mã độc tung hoành mọi hành vi độc hại.

Theo đó, họ phát hiện phần mềm độc hại RottenSys bắt đầu lan truyền vào tháng 9 năm 2016. Tính đến ngày 12/3/2018, RottenSys đã lây nhiễm đến 4,964,460 thiết bị.

Để tránh sự phát hiện, ứng dụng cung cấp dịch vụ Wi-Fi giả mạo này đã nguỵ trang bằng cách len lỏi vào thiết bị trong tình trạng ban đầu không hề có thành phần độc hại nào và không bắt đầu các hành vi độc hại ngay lập tức mà ngấm ngầm chờ đợi. RottenSys được thiết kế để liên lạc với cụm máy chủ điều khiển để có được danh sách các thành phần yêu cầu, chứa mã độc thật sự. Sau đó mã độc tải các thành phần này xuống và cài đặt các ứng dụng phù hợp sử dụng quyền “DOWNLOAD_WITHOUT_NOTIFICATION" do đó không hề yêu cầu bất kỳ tương tác hoặc sự cho phép nào từ người dùng.

Tại thời điểm này, một chiến dịch lây lan mã độc lớn đã đẩy một thành phần quảng cáo đến toàn bộ thiết bị bị lây nhiễm để hiển thị các quảng cáo ngay trên màn hình chính, như cửa số pop up hoặc quảng cáo toàn màn hình để kiếm doanh thu từ quảng cáo.

Các nhà nghiên cứu cho biết chỉ trong 10 ngày vừa qua, RottenSys là một mạng lưới quảng cáo cực kỳ hung hãn, chỉ trong 10 ngày, nó đã tung các quảng cáo một cách khủng khiếp với con số 13,250,756 lượt hiển thị quảng cáo và 548,822 trong số đó đã được chuyển đổi thành lượt nhấp vào quảng cáo.

Theo CheckPoint, phần mềm độc hại kiếm được cho hacker đến 115,000 USD chỉ trong 10 ngày gần đây của chiến dịch. Nhưng những gì mã độc có thể gây thiệt hại không chỉ có thế. Vì RottenSys đã được thiết kế nhằm tải xuống và cài đặt bất kỳ thành phần mới nào từ cụm máy chủ, kẻ tấn công hoàn toàn có thể dễ dàng kiểm soát hàng triệu thiết bị và biến nó thành một cuộc tấn công DDoS lớn.

Cuộc điều tra đã tiết lộ một số bằng chứng cho thấy các kẻ tấn công RottenSys đã bắt đầu chuyển hàng triệu thiết bị bị nhiễm mã độc thành một mạng botnet khổng lồ. Một số thiết bị bị nhiễm đã được tìm thấy cài đặt thành phần RottenSys mới cho phép kẻ tấn công có khả năng sâu rộng hơn, bao gồm cài đặt ứng dụng bổ sung và tự động hóa UI.

Đây không phải là lần đầu tiên các nhà nghiên cứu của CheckPoint tìm ra những thương hiệu hàng đầu bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng.

Năm ngoái, công ty đã phát hiện ra điện thoại thông minh thuộc Samsung, LG, Xiaomi, Asus, Nexus, Oppo và Lenovo, đã bị nhiễm hai phần mềm độc hại cài đặt sẵn (Loki Trojan và thiết bị rangeromobile Mobile Slocker) được thiết kế để theo dõi người dùng.

Vậy làm thế nào để phát hiện và loại bỏ phần mềm độc hại ra khỏi thiết bị của bạn?

Để kiểm tra xem thiết bị của bạn có bị nhiễm phần mềm độc hại này hay không, hãy đi tới cài đặt hệ thống Android → Trình quản lý ứng dụng và sau đó tìm tên gói phần mềm độc hại có thể sau đây:

com.android.yellowcalendar (每日 黄 历)

com.changmi.launcher (畅 米 桌面)

com.android.services.securewifi (系统 WIFI 服务)

com.system.service.zdsgt

Nếu bất kỳ thông tin nào bên trên nằm trong danh sách các ứng dụng đã cài đặt của bạn, chỉ cần gỡ cài đặt.

Minh Hương