Vừa qua các nhà nghiên cứu đã phát hiện ra một mã độc mới hoạt động trên Android có khả năng lưu lại nội dung điện thoại của người dùng để sử dụng cho việc tống tiền.
Các nhà nghiên cứu của Wandera vừa phát hiện ra một loại mã độc mới xuất hiện trên hệ điều hành Android. Mã độc mới này đã được phát hiện trong 53 ứng dụng trên trên Android tại các ứng dụng của bên thứ ba, bao gồm ứng dụng tính toán, trình biên tập ảnh, công cụ quản lý ổ đĩa. Malware này cũng được các nhà nghiên cứu đặt tên là “RedDrop”.
Tất cả ứng dụng bị lây nhiễm này đều yêu cầu rất nhiều quyền, trong đó có cả quyền cho phép mã độc khởi động cùng với điện thoại. Hơn nữa, kẻ đứng đằng sau mã độc RedDrop đã sử dụng hơn 4000 tên miền bị lây nhiễm để phát tán các ứng dụng chứa mã độc.
Khi thiết bị bị nhiễm RedDrop thì mã độc sẽ tiến hành ghi lại các cuộc trò truyện và tiếng ồn xung quanh và phục vụ cho mục đích tống tiền.
Một khi ứng dụng bị nhiễm được khởi chạy, nó sẽ tải thêm 7 ứng dụng độc hại khác với các chức năng gián điệp và trích xuất dữ liệu. Khi người dùng bắt đầu sử dụng ứng dụng đã bị nhiễm mã độc, nó sẽ gửi tin nhắn SMS đến một dịch vụ trả phí để sử dụng tiền của nạn nhân mà không bị phát hiện.
Dữ liệu bị đánh cắp bởi RedDrop bao gồm ảnh, danh sách liên lạc, số IMEI và IMSI, thông tin thẻ SIM, mạng Wi-Fi gần đó và các bản thu âm âm thanh xung quanh thiết bị. Sau khi thu thập được các dữ liệu trên, phần mềm độc hại sẽ gửi chúng tới thư mục Dropbox và Google Drive của những kẻ tấn công và được bọn chúng sử dụng để tống tiền.
“Cách thức tấn công này rất tinh vi và khó nắm bắt. Những kẻ sử dụng mã độc này thường cung cấp cho người dùng những ứng dụng có ích với người dùng trước khi tấn công họ. Đây là một trong những biến thể của mã độc tấn công dai dẳng mà chúng tôi đã thấy.” – Tiến sĩ, Phó phòng Chiến lược Sản phẩm của Wandera cho biết.
Theo các nhà nghiên cứu của Wandera, RedDrop là một trong những phần mềm độc hại Android tinh vi nhất mà họ đã thấy vừa được phát tán rộng rãi. Do đó, những người sử dụng thiết bị Android chỉ nên tải các ứng dụng đáng tin cậy từ các trang web uy tín.
Phần mềm độc hại này lần đầu tiên được phát hiện trên một máy chủ ở Trung Quốc khi nó “lôi kéo” các nạn nhân vào một tên miền chứa nội dung nhạy cảm. Tuy nhiên, hiện vẫn còn chưa rõ ai đứng đằng sau cũng như sự phát triển và phân phối phần mềm độc hại này.
