Mã độc FalseGuide lây nhiễm 2 triệu thiết bị Android

12:25 | 06/05/2017

Theo các nhà nghiên cứu bảo mật từ Check Point, khoảng 2 triệu người dùng Android đã bị dính mã độc ẩn trong hơn 40 ứng dụng hướng dẫn chơi các game phổ biến như Pokémon Go và FIFA Mobile trên Google Play.



Các nhà nghiên cứu của Check Point đặt tên mã độc này là FalseGuide, nó tạo ra một botnet trên các thiết bị bị nhiễm để chạy các phần mềm quảng cáo và tạo ra doanh thu quảng cáo cho tội phạm trực tuyến.

Phiên bản mới nhất của FalseGuide đã được tải lên Google Play vào tháng 2/2017 và có hơn 600.000 thiết bị tải về trong vòng 2 tháng. Các nhà nghiên cứu tiếp tục phân tích sâu hơn và biết được có nhiều thiết bị đã bị nhiễm từ tháng 11/2016. Nghĩa là nó đã tồn tại được gần 5 tháng mà không bị phát hiện.

Anatoly Khmelenko đến từ Nga đã phát hiện 5 ứng dụng có chứa mã độc FalseGuide trên Google Play. Ngoài ra, phiên bản mã độc đầu tiên được phát triển bởi 2 lập trình viên của Nga là Sergei Vernik và Nikolai Zalupkin.

FalseGuide biến các thiết bị bị lây nhiễm thành một mạng botnet, cho phép nhà điều hành kiểm soát thiết bị mà không cần sự cho phép của chủ sở hữu.

Cách hoạt động của FalseGuide

Trong lúc tải về, FalseGuide yêu cầu quyền quản trị đối với thiết bị để tránh bị người dùng xóa. Phần mềm độc hại này tự đăng ký với Firebase Cloud Messaging – một dịch vụ nhắn tin cho phép các nhà phát triển ứng dụng gửi tin nhắn và thông báo.



Sau khi đăng ký dịch vụ này, FalseGuide có thể cho phép kẻ tấn công gửi tin nhắn có chứa các liên kết đến các mã độc bổ sung và cài đặt chúng vào thiết bị, giúp kẻ tấn công hiển thị các quảng cáo không hợp lệ và tạo ra doanh thu.

Tùy thuộc vào mục tiêu, kẻ tấn công cũng có thể thêm mã độc vào thiết bị để root, tấn công DDoS hoặc xâm nhập vào các mạng riêng.

Google đã nhận được thông báo từ Check Point vào tháng 2/2017 và đã âm thầm xóa các ứng dụng chứa mã độc khỏi Play Store. Dù bị gỡ bỏ, các mã độc vẫn có thể hoạt động trên một số thiết bị, khiến người dùng Android phải đối mặt với các cuộc tấn công mạng.

Checkpoint cho biết, các botnet di động đang có xu hướng phát triển từ đầu năm 2017, ngày càng tinh vi về khả năng tiếp cận. Loại mã độc này thâm nhập vào Google Play bằng cách ẩn trong các phần mềm không gây hại, chỉ thực sự gây hại khi người dùng tải về.

Một số cách phòng tránh mã độc tương tự:

- Luôn tải ứng dụng từ các nhà phát triển và từ các nguồn đáng tin cậy. Xác minh quyền của ứng dụng trước khi cài đặt ứng dụng. Nếu ứng dụng có yêu cầu nhiều hơn những gì được phép thì bỏ qua. Không tải xuống ứng dụng từ nguồn của bên thứ ba.

- Cài đặt và luôn cập nhật phần mềm diệt virus tốt trên thiết bị di dộng để phát hiện và chặn mã độc trước khi nó có thể lây nhiễm sang thiết bị. 

- Tránh các điểm truy cập wifi không an toàn và tắt khi không sử dụng. 

- Không nhấp vào liên kết trong SMS hoặc MMS được gửi đến điện thoại di động.