Mã độc MilkyDoor biến điện thoại thành cửa hậu di động

08:57 | 09/05/2017

Trend Micro vừa đưa ra cảnh báo về một mã độc mới có thể biến thiết bị di động sử dụng hệ điều hành Android thành các cửa hậu di động, cho phép tin tặc truy cập vào mạng mà người dùng kết nối.



Mã độc này có tên là MilkyDoor, về bản chất, các điện thoại, máy tính bảng Android bị nhiễm mã độc sẽ hoạt động như các máy chủ trung gian (proxy servers) kết nối vào các mạng hợp pháp bằng các C&C server qua giao thức Socket Secure (SOCKS), từ đó cho phép kẻ xấu tiếp cận vào dữ liệu.

Theo The CyberSecurity Source, báo cáo của Trend Micro cho biết hãng đã phát hiện ra mã độc tồn tại trong khoảng 200 ứng dụng Android, mỗi ứng dụng đã được cài đặt từ 500.000 đến 1 triệu lần trên Google Play. Những ứng dụng này là sách thiếu nhi, ứng dụng vẽ, hướng dẫn thời trang và những ứng dụng giải trí khác. Trend Mirco cho biết thêm, những ứng dụng hợp pháp này đã bị tội phạm mạng đóng gói lại và gắn mã độc, sau đó tái xuất bản trên Google Play. Google đã xóa những ứng dụng này sau khi Trend Micro thông báo riêng cho họ.

Loại mã độc này đặc biệt nguy hiểm với các doanh nghiệp, bởi nó được xây dựng nhằm tấn công mạng nội bộ của các công ty, tấn công các máy chủ riêng và dữ liệu trên đó. Mã độc cho phép tin tặc xâm nhập vào các web dịch vụ của doanh nghiệp, truy cập vào FTP và SMTP, đồng thời có thể quét được địa chỉ IP nội bộ nhằm tìm ra những máy chủ dễ bị tấn công.

Về mặt kỹ thuật thì mã độc MilkyDoor cùng họ với dòng mã độc DressCode, cả hai đều dựa vào giao thức SOCKS để kết nối từ điện thoại vào mạng. Tuy nhiên, Trend Micro cho rằng MilkyDoor tinh vi và nguy hiểm hơn vì mã độc này dùng SSH nên những hành vi của nó bị trộn lẫn vào các lưu lượng mạng “sạch”. Do SSH dùng cổng 22 nên các hệ thống tường lửa thường sẽ không chặn lưu lượng qua cổng này. Hơn nữa, các quản trị mạng cũng sẽ không phát hiện ra việc giao tiếp với các C&C server do dữ liệu qua SSH đã được mã hóa.

Các ứng dụng bị nhiễm độc cũng không gây nghi ngờ với nạn nhân, bởi chúng hoạt động hoàn hảo và không yêu cầu thêm quyền gì khác thường (như yêu cầu truy cập mạng). 

Trend Micro cho rằng, phiên bản mới nhất của mã độc này đã được đưa ra từ tháng 8/2016, MilkyDoor có thể được dùng để tạo ra lưu lượng ảo và thu lợi qua các chiến dịch gian lận.

Để bảo vệ các doanh nghiệp trước mối nguy hiểm này, Trend Micro cảnh báo người dùng phải cảnh giác trước các ứng dụng đáng ngờ và luôn cập nhật hệ điều hành. Đồng thời, các quản trị mạng nên giám sát chặt và hạn chế quyền của nhân viên dùng thiết bị di động kết nối vào hệ thống công ty và cần xây dựng tiến trình vá lỗ hổng hữu hiệu.