Mã đòi tiền chuộc xuất hiện trên thiết bị di động

13:33 | 18/06/2014

Mã đòi tiền chuộc tiếp tục phát triển mạnh, đặc biệt là với sự xuất hiện của loại mã hóa tập tin như CryptoLocker. Bên cạnh đó, dạng phần mềm độc hại này một bước tiến triển đáng báo động: mục tiêu tiếp theo của nó là các thiết bị di động.

Mã đòi tiền chuộc (Ransomware - mã độc sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại) tiếp tục gây ra sóng gió, đặc biệt là với sự xuất hiện của loại mã đòi tiền chuộc mã hóa tập tin như CryptoLocker. Tuy nhiên, bên cạnh đó, chúng ta lại đang phải đối mặt với một bước tiến triển đáng báo động của dạng phần mềm độc hại này: mục tiêu tiếp theo của nó  là các thiết bị di động.
Nhóm hacker Reveton trở lại
Đầu tháng 6/2014, đã có một báo cáo cho rằng ransomware nhắm vào các thiệt bị di động này là sản phẩm của nhóm Reveton. Reveton là một trong những nhóm tội phạm mạng đã rải Police ransomware (mã đòi tiền chuộc giả dạng là một thông điệp cảnh báo từ các cơ quan chính quyền), tấn công châu Âu và Mỹ, và do đó lây lan ra toàn thế giới.
Các nhóm tội phạm mạng đã quyết định nhắm tới người dùng thiết bị di động trong các kế hoạch tấn công của chúng. Những nỗ lực trước đó của cảnh sát đã giúp bắt giữ một vài kẻ đứng sau các cuộc tấn công, nhưng không phải tất cả tội phạm mạng hiện nay đều đã bị giam giữ đằng sau song sắt - và một số trong số chúng đã mở rộng phạm vị tấn công bằng các phần mềm độc hại cho thiết bị di động.
Người ta đã phát hiện ra ANDROIDOS_LOCKER.A, mã độc này được tích hợp sẵn và tải về thông qua một URL cụ thể. Tên miền có chứa những từ như "video" và "phim khiêu dâm", khiến người dùng dễ chú ý, và bị nhiễm các phần mềm độc hại khi truy cập vào các trang này.
Các phần mềm độc hại sẽ điều khiển các hoạt động trên màn hình khi thiết bị đang hoạt động hoặc đang được bật. Dựa trên việc phân tích các mã, mã độc sẽ cố gắng để đưa giao diện của nó lên đầu màn hình khi thiết bị được mở khóa. Người dùng sẽ không thể gỡ bỏ các ứng dụng độc hại bằng cách truyền thống thường làm, vì hệ thống hay thậm chí là giao diện của các phần mềm chống virus (AV UI)  luôn "bị bao phủ" bởi giao diện của phần mềm độc hại.
Các phần mềm độc hại cũng cố gắng để kết nối với một số URL từ các máy chủ Ra lệnhkiểm soát (C&C servers). Những máy chủ này hiện không thể tiếp cận. Tuy nhiên, một đường dẫn URL đã được tìm thấy khi hiển thị nội dung khiêu dâm. Các mã đòi tiền chuộc dường như có khả năng gửi thông tin đến các máy chủ C&C dù các chức năng  và quyền truy cập của chúng bị hạn chế.
Các URL được lưu trữ trong hai địa chỉ IP đặt tại Mỹ và Hà Lan. Phân tích sâu hơn cho thấy các địa chỉ IP này cũng thiết kế một vài các URL độc hại khác, mặc dù không liên quan đến phần mềm độc hại đặc biệt này.
Tiếp tục “công cuộc di cư” tới các thiết bị di động và cách thức phòng tránh hiệu quả
Trong vài năm gần đây, phần mềm độc hại của “máy tính để bàn” đã tiếp tục tấn công vào thiết bị di động đầu cuối. Tháng 3 vừa rồi, các chuyên gia gặp phải phần mềm độc hại “Khai thác mỏ Bitcoin” nhắm tới các thiết bị dùng hệ điều hành Android. Để tránh những mối đe dọa này, các chuyên gia khuyến cáo nên vô hiệu hóa khả năng cài đặt các ứng dụng từ các nguồn bên ngoài Google Play trên thiết bị di động của mình, và kiểm tra nhiều lần về các nhà phát triển của ứng dụng người dùng muốn tải về, tham khảo kỹ các đánh giá về ứng dụng để xác minh tính hợp pháp của ứng dụng.
Thiết lập này có thể được tìm thấy ở tiểu mục Security (an toàn) trong mục Thiết lập hệ thống (System Settings) trong tất cả thiết bị Android. Các giải pháp an toàn khởi động cùng thiết bị (On-device security solution) (ví dụ như Trend Micro Mobile Security) trang bị thêm một lớp bảo vệ, có thể phát hiện cả các mối đe dọa không nằm trong các kho ứng dụng hợp pháp.