Android Malware sử dụng quy tắc của Firewall nhằm chặn các ứng dụng bảo mật

08:30 | 07/01/2016

Các nhà nghiên cứu của Symantec đã phát hiện ra một loại Android malware mới có thể sử dụng Firewall bằng mã nhị phân DroidWall trên các thiết bị bị xâm phạm để ngăn chặn các ứng dụng bảo mật kết nối tới dịch vụ của thiết bị.



Được đặt tên là Android.Spywaller bởi Symantec, các malware ban đầu ẩn icon của nó trên menu và sinh ra những file mã hóa chứa mã độc, rồi lưu vào bộ nhớ của điện thoại. Ngay sau khi các malware đã được cài đặt trên thiết bị bị xâm nhập, nó sẽ hiển thị một biểu tượng "Dịch vụ Google" trên thiết bị, mặc dù Google không cung cấp một sản phẩm nào như vậy. 

Các malware sau đó cố gắng chiếm quyền quản trị thiết bị và bắt đầu thu thập thông tin nhạy cảm trong khi chạy ở chế độ ngầm. Tất cả các thông tin thu thập được từ các thiết bị sau đó sẽ được gửi đến một máy chủ. 

Các nhà nghiên cứu của Symantec lưu ý người dùng rằng, tuy việc thu thập dữ liệu là thường thấy, nhưng loại malware mới này đặc biệt ở chỗ, nó kiểm tra xem ứng dụng bảo mật di động Qihoo 360 có được cài đặt không và nếu thấy thì chặn ứng dụng đó. 

Ứng dụng bảo mật Qihoo 360 rất phổ biến ở Trung Quốc và một số nước khác và có một ID duy nhất (UID) trên mỗi thiết bị, malware Android.Spywaller sẽ thu thập ID của ứng dụng bảo mật nếu chương trình đã được cài đặt. Tiếp theo, nó chạy tường lửa nhị phân DroidWall (một phiên bản tùy biến của iptables cho Android). Điều này cho phép nó có thể tạo ra các quy tắc của firewall cho phép chặn các ứng dụng bảo mật bằng cách tham chiếu đến UID của ứng dụng. 

Được phát triển bởi Rodrigo Rosauro như là một ứng dụng mã nguồn mở để giúp người dùng bảo vệ thiết bị của họ, DroidWall đã được bán cho hãng Avast trong năm 2011, nhưng mã nguồn của nó vẫn là mã nguồn mở, được công khai trên Google Code và Github. Mặc dù nó đã được thiết kế ban đầu là một công cụ bảo mật, DroidWall vẫn có thể được sử dụng bởi tội phạm mạng để vượt qua ứng dụng bảo mật của người dùng. 

Hiện tại, phần mềm độc hại này nhắm mục tiêu vào người dùng ở Trung Quốc, nơi có tỷ lệ rất cao số thiết bị được root và dễ bị nhiễm phần mềm độc hại do các dịch vụ của Google không có ở nước này. 

Ngoài việc chặn Qihoo 360, malware cũng cố gắng lấy cắp dữ liệu nhạy cảm từ các thiết bị bị xâm nhập, bao gồm thông tin nhận dạng cá nhân trên hệ thống như nhật ký cuộc gọi, tin nhắn SMS, dữ liệu GPS, dữ liệu trình duyệt hệ thống, email.... 

Đồng thời, phần mềm gián điệp cũng thu thập dữ liệu thuộc về các ứng dụng thông tin liên lạc bên thứ ba, cụ thể bao gồm cả BlackBerry Messenger, Oovoo, Coco, QQ, SinaWeibo, Skype, Talkbox, TencentWeibo, Voxer, Wechat, WhatsApp, và Zello. Theo Symantec, danh sách các loại dữ liệu được thu thập bởi malware này khiến nó được xếp trong số các phần mềm gián điệp do thám “toàn diện” nhất cho đến nay. 

Số lượng “nhiễm bệnh” hiện nay tương đối thấp, nhưng mối đe dọa là rất đáng chú ý vì tác giả của nó sử dụng các công cụ hợp pháp cho mục đích độc hại. Các chuyên gia của Symantec khuyến cáo, để luôn được bảo vệ, người dùng nên sử dụng một giải pháp bảo mật có thể ngăn chặn các nguy cơ nhắm vào thiết bị di động, cập nhật phần mềm bảo mật thường xuyên và chỉ nên cài đặt các ứng dụng từ các nguồn đáng tin cậy.