VnReview
Hà Nội

Phát hiện hàng nhiều smartphone Android giá rẻ "tặng kèm" mã độc cho người dùng

Avast đã phát hiện ra rằng nhiều điện thoại Android giá rẻ không được chứng nhận bởi Google bị đính kèm một loại malware có thể gửi cho người dùng nhiều ứng dụng mà họ không có ý định tải về.

Theo TechCrunch, malware này có tên gọi là Cosiloon và sẽ hiển thị các quảng cáo trên màn hình hệ điều hành nhằm PR cho các ứng dụng hoặc thậm chí là dụ dỗ người dùng tải về các ứng dụng đó. Các smartphone bị ảnh hưởng đến từ ZTE, Archos và myPhone.

Malware này chứa một dropper (một chương trình độc hại được thiết kế để "cài đặt" một số loại virus) và một payload (một đoạn code chạy trên máy nạn nhân, dùng để thực hiện một số họat động nào đó, hoặc dùng để kết nối về máy của kẻ tấn công). Avast cho biết:

"Dropper là một ứng dụng nhỏ nằm trong phân vùng /system của các thiết bị bị ảnh hưởng. Ứng dụng này hoàn toàn thụ động và chỉ hiển thị trong danh sách các ứng dụng hệ thống trong Settings mà thôi. Chúng tôi thấy dropper này có 2 tên gọi khác nhau 'CrashService' và 'ImeMess'".

Dropper này sau đó sẽ kết nối đến một website để tải payload mà hacker muốn cài trên điện thoại.

"Tập tin XML chứa thông tin liên quan thứ cần tải về, dịch vụ nào cần khởi động, và chứa một danh sách trắng để loại trừ các quốc giá và thiết bị cụ thể khỏi bị ảnh hưởng. Tuy nhiên, chúng tôi chưa bao giờ thấy các quốc gia nằm trong danh sách trắng, và chỉ một vài thiết bị là được đưa vào danh sách này trong các phiên bản ban đầu. Hiện tại, không có quốc gia hay thiết bị nào được loại trừ cả. Toàn bộ URL của Cosiloon được lập trình cứng vào trong tập tin APK".

Dropper là một phần của firmware hệ thống và không thể bị loại bỏ một cách dễ dàng.

"Dropper được cài đặt trước vào đâu đó trong chuỗi cung ứng, bởi nhà sản xuất, OEM hay nhà mạng. Người dùng không thể loại bỏ dropper, bởi nó là một ứng dụng hệ thống, một phần của firmware".

Avast có thể phát hiện và loại bỏ các payload, và họ khuyến nghị người dùng làm theo các hướng dẫn tại đây để xử lý dropper. Nếu dropper phát hiện ra phần mềm diệt virus trên điện thoại, nó sẽ ngừng thông báo, nhưng vẫn đề xuất các ứng dụng để bạn tải về trong quá trình duyệt web trên trình duyệt mặc định - một "cánh cổng" để lấy về thêm nhiều malware khác. Cách hoạt động này khá tương tự với lỗ hổng "Superfish" bị cài cắm sẵn trên hàng ngàn máy tính Lenovo trước đây.

Minh.T.T

Chủ đề khác