Phát hiện phần mềm tống tiền có thể mã hóa cả điện thoại Android chưa root

16/10/2017 09:11

Điều khiến DoubleLocker nguy hiểm đó là nó không quan tâm đến thiết bị đã bị root hay chưa, chỉ cần người dùng lỡ tay tải Adobe Flash về, thế là "dính".

Thêm một tiếng chuông cảnh tỉnh nữa dành cho những ai đang có ý định tải về Adobe Flash Player hay bất cứ ứng dụng tương tự nào trên Android. Các nhà nghiên cứu tại công ty bảo mật an ninh mạng ESET vừa phát hiện ra một ransomware tấn công vào điện thoại Android trên một cấp độ chưa từng có, có tên gọi DoubleLocker. Tương tự một số phần mềm tống tiền trên PC thời gian vừa qua, DoubleLocker mã hóa toàn bộ dữ liệu trên thiết bị bị lây nhiễm sau đó tự động thay đổi mã PIN để chủ nhân điện thoại không cách nào truy cập được vào máy trừ khi chịu đồng ý trả tiền chuộc cho tin tặc.

DoubleLocker là mối nguy hiểm tới mọi thiết bị Android, đặc biệt đáng lo ngại khi ransomware này không yêu cầu thiết bị phải được root - tên một biện pháp “vượt ngục” điện thoại Android cho phép thực hiện nhiều thay đổi thú vị lên file hệ thống nhưng cũng đồng thời mang lại cho tin tặc quyền truy cập sâu hơn vào hệ thống để dễ bề triển khai mã độc. Không những vậy, hậu quả gây ra của virus độc này là cực kỳ nghiêm trọng: ngay lập tức khóa mọi quyền truy cập vào điện thoại của người dùng.

Các nhà nghiên cứu tại ESET nói rằng đây là lần đầu tiên xuất hiện trên nền tảng Android một loại malware kết hợp cả mã hóa dữ liệu và thay đổi mã PIN. Phần mềm độc được phát tán qua các trang tải Adobe Flash Player giả mạo hoặc qua các website bị hack trước đó và tự động cài đặt ngay khi người dùng cho phép quyền truy cập “Google Play Service”. Dưới đây là video minh họa cách mà DoubleLocker mã hóa hoàn toàn một chiếc điện thoại Samsung Galaxy chỉ trong nháy mắt:


Malware tự cài đặt bản thân lên thiết bị dưới danh nghĩa Android launcher (phần mềm phụ trách giao diện người dùng của điện thoại) và tạo ra một shortcut tự động kích hoạt ngay khi người dùng bấm nút home. Một dấu hiệu để nhận ra khi các tệp tin đã bị mã hóa đó là đuôi định dạng “.cryeye” ở cuối tên tệp tin.

DoubleLocker ngoài ra còn tự động thay đổi mã PIN thiết bị thành một dãy số hoàn toàn ngẫu nhiên và không được gửi tới hacker. Tuy vậy nhưng bởi không có đầu mối nên việc “mò” và khôi phục được mã PIN có thể xem như là không thể. Kẻ xấu sau đó có thể reset mã PIN từ xa cho nạn nhân ngay khi nhận được tiền chuộc.

Người dùng không may dính phải DoubleLocker có tối đa 24 giờ để trả một khoản tiền chuộc là 0,0130 Bitcoin, tương đương 73,38 USD để giải mã dữ liệu. May thay các nhà nghiên cứu cho biết toàn bộ dữ liệu của người dùng vẫn sẽ còn nguyên ngay cả khi bạn quyết định không trả tiền chuộc. Nhưng dù sao thì ransomware này vẫn sẽ khóa bạn khỏi máy và nếu không có mã PIN để mở điện thoại, bạn không còn cách nào khác ngoài thực hiện Factory Reset và xóa sạch toàn bộ dữ liệu trong máy để có thể quay trở lại dùng thiết bị.

Tuy nhiên, theo WeLiveSecurity, nếu điện thoại của bạn đã root và đang ở chế độ debug trước khi dính DoubleLocker, bạn có thể vượt qua mã tạo PIN ngẫu nhiên của malware mà không cần phải factory reset, Nếu đáp ứng đủ cả hai yêu cầu trên, bạn có thể truy cập vào điện thoại với Android Debug Bridge (adb) và chuyển máy về chế độ an toàn “safe mode” để tắt các quyền admin đi cũng như loại bỏ malware. Đây không phải một quá trình dễ dàng và dù sao thì nếu thực hiện thành công, các chuyên gia vẫn khuyên người dùng thực hiện xóa sạch toàn bộ dữ liệu trên điện thoại để chắc chắn rằng đã loại bỏ hoàn toàn phần mềm tống tiền.

Năm 2012, Adobe loại bỏ Flash khỏi kho ứng dụng Play Store, chính thức dừng phát triển Flash cho nền tảng di động. Flash đã đóng vai trò bản lề cho sự tiến bộ của website tương tác trong những năm 90 và đầu những năm 2000, nhưng giờ đây không còn tác động gì tới hệ sinh thái di động nữa. Chẳng vậy mà cố CEO Apple Steve Jobs đã từng công khai chỉ trích Flash là một phần mềm “ngốn pin như uống nước” cũng như mang trong mình quá nhiều lỗ hổng bảo mật nguy hiểm.

Dù không còn có tác dụng gì trên các thiết bị di động - do hầu hết các nhà phát triển đều đã chuyển sang nền tảng HTML 5 nhanh và an toàn hơn - nhưng DoubleLocker vẫn gióng lên một hồi chuông thức tỉnh người dùng Android, và rõ ràng vẫn còn rất nhiều người dùng chưa để tâm đến những mối nguy hại khi cài đặt Flash. Và nếu Adobe không tự tay tố cáo chính phần mềm của mình, thì người dùng phải tự đứng lên bảo vệ lấy chính mình và trang bị thêm kiến thức về bảo mật.

Theo ICTNews

Bài liên quan:
Ý kiến bạn đọc (0)
Tên   Email

Lên đầu trang