Check Point vừa phát hiện trên Google Play 1 cái mã độc (malware) mới nhằm vào những thứ chạy hệ điều hành Android có tên gọi là Viking Horde. bao duong dieu hoa tai nha ha noi Viking Horde tiến hành gian lận quảng bá, nhưng cũng sở hữu thể được tiêu dùng cho các mục đích tấn công khác như DDoS (từ chối dịch vụ), tin nhắn rác,... tới nay đã có ít nhất là 5 ứng dụng nhiễm Viking Horde qua mặt cơ chế kiểm tra mã độc của Google Play.
Check Point đã thông báo cho Google về malware này ngày 05 tháng 5 năm 2016.
Check Point vừa phát hiện trên Google Play 1 mẫu malware mới nhằm vào các vật dụng chạy hệ điều hành Android với tên gọi là Viking Horde
Trên những thứ chạy Andoid, Viking Horde tạo ra một botnet sử dụng những shop IP ẩn sau proxy để nguỵ trang các cú nhấp chuột quảng cáo, sinh thu nhập cho kẻ tấn công. Botnet (mạng máy tính “ma”) là 1 nhóm các thứ bị tin tặc kiểm soát mà chủ nhân không biết. Botnet càng lớn thì tác hại càng lớn.
Trên những trang bị Android độ lại (gọi là “root”), Viking Horde mang chức năng bổ sung có thể thực hiện mã lệnh bất kỳ từ xa, gây ảnh hưởng tới sự an toàn của dữ liệu trên đồ vật. Nó còn lợi dụng các đặc quyền root (quyền cao nhất trên thiết bị) để khiến cho nó khó bị gỡ bỏ hoặc thậm chí ko thể gỡ bỏ.
Màn ra mắt
Vicking Jum
Ứng dụng nhiễm Viking Horde được tải về đa dạng nhất là Viking Jump, được đưa lên Google Play vào ngày 15/04 và đã có khoảng 50.000-100.000 lượt tải. Đây là ứng dụng Google Play miễn phí đứng đầu ở một số thị trường.
Ứng dụng thứ nhất là Wi-Fi Plus, được đưa lên Google Play vào ngày 29/03. một số ứng dụng khác như Memory Booster, Parrot Copter và Simple 2048. bao duong dieu hoa ha noi tất cả ứng dụng nhiễm Viking Horde đều bị đánh giá khá thấp, theo phỏng đoán của nhóm nghiên cứu với thể là do quý khách đã nhận thấy các hành vi kỳ lạ, chẳng hạn như yêu cầu quyền root.
Botnet do Viking Horde tạo ra đã lan rộng trên toàn thế giới. Nhóm nghiên cứu Check Point đã thu thập dữ liệu phân bố nạn nhân từ một trong rộng rãi máy chủ chỉ huy và điều khiển (C&C) được tin tặc sử dụng, thể hiện trong hình minh họa dưới đây:
bí quyết thức Viking Horde khiến cho việc
Từ nghiên cứu mã lệnh Viking Horde và những máy chủ C&C được dùng trong các cuộc tấn công, nhóm nghiên cứu đã phác hoạ được tiến trình của malware này.
1. thứ nhất nó được cài đặt từ Google Play. Trong khi ứng dụng khởi tạo trò chơi, nó sẽ cài đặt 1 số thành phần bên ko kể thư mục của ứng dụng. các thành phần này được đặt tên một phương pháp ngẫu nhiên mang các tên hệ thống kém chất lượng từ 1 danh sách định sẵn, chẳng hạn như core.bin, clib.so, android.bin và update.bin. Chúng được cài ở thư mục root/data nếu là vật dụng được độ lại, còn ko thì cài trên thẻ SD. 1 trong những tập tin được dùng để trao đổi thông tin giữa các thành phần của malware. Tập tin vật dụng hai chứa danh sách những tên thành phần được tạo ra.
2. Malware sau ấy kiểm tra xem vật dụng có độ lại hay không:
• nếu đồ vật là độ lại, malware kích hoạt hai thành phần bổ sung:
- app_exec: Thực hiện giao thức liên lạc sở hữu máy chủ.
- app_exec_watch_dog Binary: Thực hiện cơ chế cập nhật và duy trì. Watchdog giám sát công đoạn app_exec và khởi động lại nó nếu thiết yếu.
• trường hợp đồ vật không hề độ lại, malware nạp tập tin app_exec tập tin khiến cho thư viện sử dụng chung và gọi các hàm của nó bằng JNI (Java Native Interface).
Trong cả hai trường hợp, 1 lúc ứng dụng app_exec được cài đặt, nó thiết lập 1 kết nối TCP mang máy chủ C&C và bắt đầu thông tin liên lạc sở hữu những lệnh sau:
• Ping. Cứ mỗi 10 giây ứng dụng gửi 5 byte đến máy chủ. Máy chủ trả lời cũng 5 byte.
• Cập nhật những thông tin thiết bị: Gửi đến máy chủ thông tin về pin, kiểu kết nối và số điện thoại.
3. Bước tiếp theo thực hiện chức năng gian lận chính bằng bí quyết tạo ra một kết nối proxy nặc danh. C&C sẽ gửi một lệnh "create_proxy" có các tham số là 2 địa chỉ IP và cổng sử dụng để mở hai socket, 1 cho một máy chủ ở xa và 1 cho mục tiêu từ xa. bao duong dieu hoa gia re Sau đó nó đọc dữ liệu nhận được từ socket đầu tiên và chuyển tới mục tiêu. sử dụng kỹ thuật này, nhà vững mạnh malware này (hoặc ai đấy tiêu dùng malware này như dịch vụ) sở hữu thể ẩn IP của mình đằng sau IP của đồ vật bị nhiễm.
Hoạt động botnet
Điều quan trọng là phải hiểu rằng ngay cả mang thiết bị ko độ lại, Viking Horde cũng có thể biến thành 1 proxy với khả năng gửi và nhận thông tin theo lệnh của kẻ tấn công. Dưới đây là ví dụ một đồ vật bị lây nhiễm nhìn thấy từ máy chủ C&C của kẻ tấn công.
Ở đây, remoteIP là IP của proxy, và socksIP là IP của máy chủ C&C. C&C cất một số thông tin về đồ vật bao gồm phiên bản hệ điều hành, tình trạng pin và tọa độ GPS. Trong ví như này, thứ nằm ở Mỹ dùng mạng T-Mobile.
Botnet này được kiểm soát bởi đa dạng máy chủ C&C, mỗi máy chủ quản lý vài trăm trang bị. Mục tiêu chính của malware là chiếm quyền điều khiển thứ và sau ấy sử dụng nó để kém chất lượng lập các cú nhấp chuột vào PR ở những website để thu lợi nhuận. Malware nên proxy này để qua mặt các cơ chế chống gian lận quảng bá trên mạng bằng phương pháp dùng những địa chĩ IP phân tán.
1 số đánh giá các bạn về ứng dụng trên còn khẳng định nó gửi các tin nhắn SMS mang mức phí cao, như trong ảnh chụp màn hình dưới đây. Botnet này có thể được sử dụng cho những mục đích phá hoại khác nhau, chẳng hạn như tấn công DDoS, gửi thư rác và phát tán malware.
Malware dai dẳng
Malware này sử dụng 1 số kỹ thuật để duy trì sự hiện diện trên trang bị. thứ 1, Viking Horde cài đặt một số thành phần có tên liên quan đến hệ thống, do đó chúng khó xác định và gỡ bỏ.
trường hợp đồ vật được độ lại, còn với thêm hai cơ chế:
Thành phần app_exec giám sát sự tồn tại của ứng dụng chính. giả dụ người dùng gỡ bỏ ứng dụng chính, app_exec sẽ giải mã 1 thành phần với tên là com.android.security và âm thầm cài đặt nó. Thành phần này sẽ được ẩn đi và chạy sau lúc khởi động. Thành phần này là bản sao của chính nó và mang cộng những tính năng.
Thành phần watchdog cài đặt các bản cập nhật thành phần app_exec. ví như app_exec bị gỡ bỏ, watchdog sẽ cài đặt lại nó từ thư mục cập nhật.
một số quý khách thậm chí còn nhận thấy hoạt động này:
Thành phần bổ sung cho thứ độ lại
có lẽ tính năng nguy hiểm nhất ấy là cơ chế cập nhật. Cơ chế này được phân chia giữa những thành phần app_exec và watchdog. app_exec tải về tập tin thực thi mới từ máy chủ và lưu nó vào thư mục /data có tên app_exec_update.
Watchdog định kỳ kiểm tra xem tập tin cập nhật mang tồn tại ko và thay thế app_exec bằng tập tin này. Điều này có nghĩa lúc với lệnh của máy chủ, Viking Horde sẽ tải tập tin thực thi mới mới. Thành phần watchdog sẽ tiêu dùng nó thay ứng dụng. Điều này cho phép việc tải về và thực thi mã lệnh bất kỳ từ xa trên trang bị.
0 nhận xét:
Đăng nhận xét