Mã độc trên Android mobile

Mã độc trên Android mobile

Rate this post

Mã độc (tên tiếng anh là malware được viết tắt từ malicious software) là các chương trình có chứa đoạn mã độc hại như: chiếm quyền kiểm soát điện thoại, tự động độc SMS, tự nhắn tin, tự động tải ứng dụng, đánh cắp thông tin người dùng tài khoản mật khẩu, mã hóa dữ liệu,… Đó là những hành vi của một chương trình có chứa mã độc.

Hiện trạng thực tế

Hiện nay với nhu cầu của cuộc sống thay đổi liên tục smartphone là nhu cầu không thể thiếu đối với con người, nó phục vụ nhu cầu như liên lạc nhắn tin gọi thông qua một ứng dụng có kết nối Internet, thanh toán online sử dụng các ví điện tử liên kết thẻ ngân hàng Momo, ZaloPay, Viettel Pay,… Do đó những thách thức liên quan đến phần mềm độc hại Android cũng đang leo thang với tốc độ nhanh chóng.

Các bài viết liên quan:

Vào năm 2020 thống kê từ Kaspersky đã chỉ ra 5.683.694 malicious package, 156.710 banking Trojans, 20.208 ransomware trên mobile. Và vào năm này cũng là năm đại dịch “covid” chúng đã lợi dụng bằng cách đặt tên các file apk như: covid.apk, covidMapv8.1.7.apk, tousanticovid.apk, covidMappia_v1.0.3.apk, coviddetect.apk các ứng dụng này được đặt lên các trang có liên kết thông qua phân phối thư gác.

Mã độc trên Android mobile

Hình 2-1. Sơ đồ các cuộc tấn công vào người dùng 2019-2020

Đáng chú ý ngoài phần mềm độc hài thì phần mềm quảng cáo cả hai rất gần giống nhau về khả năng. Thông thường, mã chạy quảng cáo được nhúng vào ứng dụng của nhà cung cấp dịch vụ ví dụ như trò chơi di động miễn sau là nó phổ biến.

Phân loại mã độc trên Android

Một số phương pháp lây nhiễm mã độc trên hệ điều hành android

Phần mềm độc hại có hành vi nguy hiểm, có thể bao gồm cài đặt phần mềm mà không cần sự đồng ý của người dùng. Các loại lây nhiễm mã độc phổ biến trên điện thoại Android:

  1. Adding malicious code: Đây là phương pháp đưa mã độc vào thiết bị Android dựa trên một ứng dụng hợp pháp, khi một ứng dụng đã được đóng gói hợp pháp và được đưa lên Google Store hacker sẽ lợi dụng ứng dụng đó và sử dụng công cụ dịch ngược sau đó chèn thêm các đoạn mã độc và đóng gói lại ứng dụng đó. Khi người dùng cài đặt ứng dụng này thì mã độc đã xâm nhập vào hệ thống tùy theo mục đích của hacker.
  1. Exploiting application vulnerabilities: Ứng dụng của người dùng được cài đặt trên thiết bị Android bị lỗi. Hacker dựa vào những lỗ hỏng này từ ứng dụng để xâm nhập và có thể cài đặt ứng dụng độc hại cho thiết bị.
  1. Using technology for evil: Đây là một phương pháp tấn công vào thiết bị phần cứng trên điện thoại. Vào năm 2017 một lổ hổng đối với Bluetooth có tên là “Blueborne” cho phép người tấn công truy cập vào nhiều thiết bị khác nhau. Thiết bị Android có thể nhận phần mềm độc hại từ những thiết bị lân cận, hoặc khi phần mềm độc hại được gửi qua tin nhắn văn bản hoặc tin nhắn đa phương tiện, người nhận có thể vô tình chấp nhận và cài đặt virus trên thiết bị của họ.
  1. Fake application: Đây là phương pháp dựa vào icon và tên của ứng dụng hợp pháp, hacker tiến hành xây dựng ứng dụng tương tự nhưng khi cài đặt có những đoạn mã độc đang chạy ngầm.
  1. Installation from afar: Đây là phương pháp tấn công hacker sẽ cài đặt ứng dụng độc hại từ xa lên điện thoại người dùng, thông qua họ tấn công vào trình duyệt web của thiết bị di động.
Mã độc trên Android mobile

Các loại mã độc phổ biến trên hệ điều hành Android

Có nhiều cách để phân loại mã độc thành một số loại nhất định với các đặc điểm cụ thể như: tính nhân bản, sự nhiễm độc, tàng hình, lệnh và điều khiển, tập hợp các hành vi được thể hiện trong quá trình chạy trên hệ điều hành Android. Mặc dù không có sự thống nhất chung về việc phân loại phần mềm độc hại tuy nhiên ta có thể phân loại phần mềm độc hại dựa trên mục đích và hành vi của chúng: Worms, trojans, spyware, ransomware, adware.

  1. Worms là một chương trình có thể sao chép và gửi file từ thiết bị này sang thiết bị khác, khi đã gửi qua một thiết bị mới có khả năng sẽ tiếp tục nhân bản. Worms trên thiết bị android thường được truyền qua tin nhắn văn bản SMS/MMS và thường không yêu cầu thực thi bởi người dùng, worms không được xem là virus vì nó không nhúng vào chương trình khác.
  1. Trojans là một loại phần mềm giả mạo, chúng thường ẩn nấu dưới danh nghĩa là một phần mềm hữu ích nhưng chúng thực hiện một số chức năng độc hại như thu thập thông tin người dùng, đánh cắp tài khoản.
  1. Spyware là loại phần mềm đe dọa cho thiết bị của bạn, bằng cách thu thập và phát tán thông tin cá nhân, phần mềm loại này sẽ giám sát hoạt động của bạn, ghi lại vị trí của bạn và tải các thông tin quan trọng, tài khoản Gmail, tài khoản website. Trong nhiều trường hợp phần mềm spyware được đóng gói cùng với phần mềm vô hại nhưng nó đang thu thập dữ liệu dưới chế độ nền.
  1. Ransomware là một loại mã độc tống tiền, chúng tấn công người dùng bằng cách mã hóa các tài liệu, hình ảnh, video để buộc người dùng phải trả một số tiền. Một số loại còn khóa thiết bị và yêu cầu tiền chuộc để khôi phục quyền kiểm soát của người dùng.
  1. Adware là loại mã độc được thiết kế để hiển thị quảng cáo lên màn hình thiết bị của người dùng, thường ngụy trang dưới một chương trình hợp pháp hoặc ẩn mình trong một phần mềm khác để lừa người dùng cài đặt nó. Adware kiếm tiền bằng cách hiển thị quảng cáo cho người dùng.
  1. Backdoor là một loại phần mềm độc hại cung cấp cho kẻ tấn công quyền truy cập từ xa vào thiết bị. Backdoor có thể là một phần mềm hoàn toàn mới hoặc là một phần của phần mềm vô hại mà mã độc backdoor được nhúng vào. Phần mềm độc hại backdoor thu thập thông tin cá nhân từ điện thoại, gửi và nhận tin nhắn, gọi điện và thu thập lịch sử cuộc gọi, trong một số trường hợp nghiêm trọng backdoor sẽ root (là cách bạn có thể có được quyền quản trị trên thiết bị android từ đó có thể can thiệp sâu vào file hệ thống) thiết bị mà nó đã được cài đặt.

Các bài viết khác:

Các phương pháp tấn công của Mã độc trên Android

Giới thiệu phương pháp tấn công backdoor sử dụng Firebase

Như đã giới thiệu bên trên backdoor là một phần mềm tạo ra một kết nối từ thiết bị tấn công đến một thiết bị điều khiển. Sau đây là một phương pháp tấn công backdoor sử dụng Firebase.

Mã độc trên Android mobile

Hình 2-4. Quy trình tấn công sử dụng firebase

Firebase là một nền tảng mà Google cung cấp để phát triển các ứng dụng di động và trang web, hỗ trợ các developer trong việc đơn giản hóa các thao tác dữ liệu, với Firebase Cloud Messaging ta có thể gửi nhận tin nhắn còn được gọi là push notification.

Hình trên là quá trình hoạt động của một backdoor. Quá trình triển khai bao gồm ba thành phần: Trigger application, Firebase, Backdoor application. Dùng Firebase để hỗ trợ giao tiếp giữa kẻ tấn công và ứng dụng backdoor, Việc sử dụng như vậy gây ra khó khăn cho các phần mềm kiểm tra mã độc, vì nhiều ứng dụng bình thường cũng sử dụng Firebase cho các dịch vụ thông báo.

Đầu tiên khi một ứng dụng có tồn tại mã độc backdoor đã cài đặt xong, chúng sẽ gửi một request đến Firebase, sau đó Firebase sẽ nhận và response lại một mã token cho ứng dụng, tiếp tục ứng dụng sẽ update thời gian thực từ database của Firebase và gửi một mã token cho Firebase, từ Firebase nó sẽ tiến hành gửi token nhận được từ ứng dụng backdoor gửi đến một thiết bị remote, và khi muốn tấn công thiết bị remote sẽ gửi đến một messaging cùng với token cho Firebase và Firebase sẽ chuyển thông báo này đến thiết bị đã bị tấn công. Tiếp tục khi nhận được thông báo từ Firebase, ứng dụng backdoor đó sẽ thực thi module bẻ khóa mã Pin.

Về việc thiết kế mã độc backdoor này, thứ nhất thiết kế kích hoạt từ xa do đó một backdoor muốn thực thi thì phải có yêu cầu từ kẻ tấn công chứ không được tự động kích hoạt. Thứ hai ứng dụng backdoor này giao tiếp trực tiếp với Firebase không cần giao tiếp trực tiếp với kẻ tấn công. Do đó các hệ thống phân tích không thể phát hiện ứng dụng độc hại này với các ứng dụng lành tính khác do một số ứng dụng cũng sử dụng Firebase.

Tiến trình bẻ khóa đối với mã Pin 4 chữ số, do chọn 5000 mẫu dữ liệu đối với mã Pin 4 chữ số có khả năng 98,72% trong số các mẫu Pin đã thử nghiệm thì được bẻ khóa trong vòng 5 giây.

Giới thiệu mã độc Trojan Triada

Theo Kaspersky thì Triada là Trojan nguy hiểm trên nền tảng Android hiện nay vì chúng lây nhiễm vào một quy trình cốt lõi của hệ điều hành này là Zygote. Triada có thể thay thế các file hệ thống và lây nhiễm vào quá trình cốt lõi của hệ điều hành Android như Zygote, nó thâm nhập xâu và kiểm soát các file hệ thống và điều khiển tiến trình Zygote.

Mã độc trên Android mobile

Hình 2-5. Quy trình tấn công Triada

Triada còn có khả năng hoạt động ẩn, ngay sau khi được cài đặt nó ngay lập tức nhiễm vào quá trình Zygote bằng cách thay thế các file hệ thống và sau đó di chuyển hoạt động của nó đến bộ nhớ RAM của thiết bị, nơi mà các sản phẩm bảo mật không thể quét tới.

Triada thu thập dữ liệu gửi nó đến một máy chủ C&C (Command & Control Server) để tạo hồ sơ cho nạn nhân và gửi ngược lại cho Triada một cái gọi là tập tin cấu hình, chúng có tổng cộng 17 máy chủ C&C với trên 4 tên miền khác nhau. Tập tin này chứa thông tin về các thiết lập của Triada, các hoạt động độc hại mà nó cần phải thực hiện và các module yêu cầu tải xuống để thực hiện các lệnh của nó.

Do Triada ẩn mình trong RAM nên rất khó phát hiện. Tất cả các module của nó cũng được triển khai trong RAM của thiết bị và nếu người dùng khởi động thiết bị của họ, Triada cũng sẽ khởi động cùng quá trình Zygote, nó yêu cầu một tập tin cấu hình mới và cài đặt lại module của nó sau mỗi lần khởi động lại

Giới thiệu về mã độc Trojan Alien

Một trojan ngân hàng mới được phát hiện có tên Alien đang xâm nhập vào các thiết bị Android trên toàn thế giới, sử dụng khả năng nâng cao để vượt qua các biện pháp bảo mật xác thực hai yếu tố (2FA) để lấy cắp thông tin đăng nhập của nạn nhân.

Sau khi đã lây nhiễm cho một thiết bị, RAT nhằm mục đích đánh cắp mật khẩu từ ít nhất 226 ứng dụng di động – bao gồm các ứng dụng ngân hàng như Bank of America Mobile Banking và Capital One Mobile, cũng như một loạt các ứng dụng xã hội và cộng tác như Snapchat, Telegram và Microsoft Quan điểm.

Phần mềm độc hại này, lần đầu tiên được quảng cáo cho thuê trên các diễn đàn ngầm vào tháng 1, đã được sử dụng để chủ động nhắm mục tiêu vào các tổ chức trên toàn thế giới, bao gồm Úc, Pháp, Đức, Ý, Ba Lan, Tây Ban Nha, Thổ Nhĩ Kỳ, Anh và Hoa Kỳ. Các nhà nghiên cứu tin rằng Alien là một “nhánh rẽ” của phần mềm độc hại ngân hàng Cerberus khét tiếng, đã trải qua một đợt sử dụng ổn định trong năm qua.

Alien RAT có nhiều khả năng phần mềm độc hại Android thường được sử dụng khác nhau, bao gồm khả năng khởi động các cuộc tấn công lớp phủ, kiểm soát và đánh cắp tin nhắn SMS và thu thập danh sách liên hệ – cũng như ghi nhật ký, thu thập vị trí và các khả năng khác.

Tuy nhiên, nó cũng giới thiệu một số kỹ thuật tiên tiến hơn, bao gồm một trình dò ​​tìm thông báo cho phép nó truy cập tất cả các bản cập nhật mới trên các thiết bị bị nhiễm. Điều này bao gồm mã 2FA – cho phép phần mềm độc hại vượt qua các biện pháp bảo mật 2FA.

Alien tận dụng chiến thuật này bằng cách lạm dụng “android.permission.BIND_NOTIFICATION_LISTENER_SERVICE” để lấy nội dung của thông báo trên thanh trạng thái trên thiết bị bị nhiễm. Mặc dù thông thường người dùng sẽ cần cấp quyền này theo cách thủ công trong cài đặt, nhưng phần mềm độc hại đã vượt qua rào cản này bằng cách sử dụng đặc quyền Trợ năng trên thiết bị Android, tự thực hiện tất cả các tương tác cần thiết của người dùng.

Leave a Reply