Facebook – nơi trú ẩn mới của mã độc

08:53 | 17/03/2016

Tại hội thảo RSA 2016, các nhà nghiên cứu đã trình bày một cách mới để qua mặt các cơ chế kiểm tra an ninh của Android và iOS – dùng các mạng xã hội làm máy chủ kiểm soát và điều khiển.



Nhóm nghiên cứu từ công ty bảo mật Skycure của Israel nói rằng, Google và Apple đã có những nỗ lực lớn để loại bỏ mã độc khỏi kho ứng dụng chính thức, họ quét các ứng dụng được gửi lên để phát hiện mã độc và những cách làm không tốt. Một phần của quá trình đó kiểm tra các hệ thống backend mà ứng dụng kết nối tới. Các ứng dụng kết nối với những máy chủ đáng nghi sẽ được kiểm tra kỹ hơn, tuy nhiên kết nối tới Facebook lại được coi là hợp lệ. Vì thế nhóm nghiên cứu đã tạo ra một tài khoản Facebook và đưa lên đó các dòng mã nguy hiểm. Khi ứng dụng có vẻ vô hại đăng nhập vào mạng xã hội và tải xuống những đoạn mã độc, nó có thể thực hiện chúng trên thiết bị. Và như thế, các đoạn mã độc có thể qua mặt các biện pháp an ninh của kho ứng dụng.

Đây là một thủ đoạn rất khôn khéo và việc quét mã ứng dụng đơn thuần không thể đảm bảo an toàn cho người dùng. Bọn tội phạm đã dùng kỹ thuật này và những biện pháp tương tự để qua mặt hệ thống kiểm soát của Google và Apple. Đã có những ví dụ về bom thời gian trong các ứng dụng, trong đó các đoạn mã độc ẩn mình khỏi cơ chế dò quét của kho ứng dụng và chỉ chạy sau khi ứng dụng đã chạy được một thời gian nhất định. 

Tháng 9/2015, CheckPoint đã phát hiện ứng dụng độc hại Brain Test qua mặt hệ thống kiểm tra Google Bouncer và được cài trên hơn 1 triệu thiết bị. Sau khi CheckPoint thông báo để Google gỡ bỏ ứng dụng đó, nó lại được đưa lên chỉ sau vài ngày (tức là lại qua mặt hệ thống kiểm tra một lần nữa). Trước đó, hồi tháng 2/2015, chuyên gia bảo mật Flip Chytry của công ty Avast cũng phát hiện một số trò chơi ẩn mình tới 30 ngày trước khi tải xuống mã độc để làm hại người dùng. 

Nhóm nghiên cứu của Skycure nói rằng, có mã độc còn có thể được kích hoạt bởi vị trí của người dùng hay khi họ đạt tới mức nào đó trong trò chơi.