Phát hiện trường hợp đầu tiên Trojan di động phát tán thông qua botnet "alien"

11/09/2013 15:43

(e-CHÍP Online) - Lần đầu tiên trong lịch sử tội phạm mạng trên di động, một Trojan được phát tán bằng botnet kiểm soát bởi các nhóm tội phạm khác.

Người dùng được yêu cầu tải game về từ trang giả mạo.

Hơn 3 tháng trước, các nhà phân tích của Kaspersky đã tiến hành nghiên cứu sự phát tán Trojan Obad.a, một ứng dụng độc hại dành cho Android. Điều này tiết lộ rằng tội phạm đứng sau Trojan này đã áp dụng một kỹ thuật mới để phát tán phần mềm độc hại của chúng. Obad.a hầu như được tìm thấy ở các nước CIS với tổng cộng 83% cố gắng lây nhiễm được ghi nhận ở Nga, trong khi các phát hiện khác xuất hiện trên thiết bị di động ở Ukraine, Belarus Uzbekistan và Kazakhstan.
Mô hình phân phối thú vị nhất cho thấy các phiên bản khác nhau của Obad.a phát tán với Trojan-SMS.AndroidOS.Opfake.a. Cố gắng lây nhiễm gấp đôi này bắt đầu với một tin nhắn văn bản đến người dùng, yêu cầu họ tải tin nhắn vừa nhận được. Nếu nạn nhân nhấp chuột vào liên kết, một tập tin chứa Opfake.a tự động tải về smartphone hoặc máy tính bảng.

Tập tin độc hại chỉ được cài đặt khi người dùng khởi chạy nó sau đó. Trojan sẽ gửi tin nhắn tương tự đến tất cả số liên lạc lưu trên thiết bị mới bị nhiễm. Đây là một hệ thống được tổ chức bài bản: một nhà mạng di động ở Nga cho biết có hơn 600 tin nhắn chứa những liên kết này được phát tán chỉ trong 5 giờ. Hầu hết các trường hợp phần mềm độc hại được phát tán sử dụng các thiết bị đã bị lây nhiễm.

Ngoài việc dùng botnet di động, Trojan có độ phức tạp cao này cũng phân phối bằng các tin nhắn rác, con đường chuyên chở của Trojan Obad.a. Thông thường một tin nhắn cảnh báo người sử dụng chưa trả nợ hút nạn nhân theo một liên kết tự động tải Obad.a vào thiết bị di động. Tuy nhiên, người dùng phải chạy các tập tin tải về để cài đặt Trojan.
Các kho ứng dụng giả mạo, sao chép nội dung các trang Google Play và thay thế những liên kết hợp pháp bằng liên kết độc hại, lan truyền Backdoor.AndroidOS.Obad.a. Khi các trang hợp pháp bị xâm nhập và người dùng bị chuyển hướng đến một trang nguy hiểm khác, Obad.a độc quyền nhắm vào người sử dụng điện thoại di động - nếu nạn nhân tiềm năng nhập các trang web từ một máy tính ở nhà không có gì xảy ra, nhưng điện thoại thông minh và máy tính bảng của bất kỳ hệ điều hành nào đều có thể bị chuyển hướng đến các trang web giả mạo (mặc dù chỉ có người dùng Android có nguy cơ).

Roman Unuchek, Trưởng nhóm Chống Virus, Kaspersky Lab, cho biết: “Trong 3 tháng qua, chúng tôi đã khám phá 12 phiên bản của Backdoor.AndroidOS.Obad.a. Tất cả chúng đều có chung chức năng và mã hóa giả nội dung mã cao (code obfuscation), từng sử dụng lỗ hổng của Android OS để cung cấp cho chương trình độc hại DeviceAdministrator các quyền và khiến nó khó bị xóa bỏ hơn. Ngay khi khám phá ra, chúng tôi đã thông báo đến Google và lỗ hổng đã được đóng ở Android 4.3. Tuy nhiên, chỉ một số smartphone và máy tính bảng mới chạy phiên bản này, và các thiết bị chạy những phiên bản cũ hơn vẫn còn bị đe dọa. Obad.a, sử dụng một số lượng lớn các lỗ hổng chưa được công bố, giống các chương trình độc hại cho Windows hơn là Trojan cho Android.”

Để biết thêm thông tin chi tiết về việc phát tán Obad.a, bạn có thể tham khảo tại securelist.com.

HỒNG HẠNH
Bài liên quan:
Ý kiến bạn đọc (0)
Tên   Email

Lên đầu trang