Mã độc Android vô hiệu hóa wifi để đăng ký các dịch vụ trả phí

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Mã độc Android vô hiệu hóa wifi để đăng ký các dịch vụ trả phí
Microsoft cảnh báo mã độc gian lận cước phí là mối đe dọa đang phổ biến trên Android. Nó phát triển các tính năng cho phép đăng ký các dịch vụ có trả phí.

Android-app-33.jpg

Gian lận thu phí là một phần của gian lận thanh toán. Kẻ đe dọa sẽ lừa nạn nhân gọi điện, nhắn tin đến các số đặc biệt. Sự khác biệt là gian lận thu phí không hoạt động qua WiFi và buộc các thiết bị phải kết nối với mạng của nhà khai thác di động.

Cách thức hoạt động

Microsoft đã chia sẻ cách hoạt động của mã độc và cũng như cách để ngăn chặn:

Gian lận thu phí hoạt động trên giao thức Wireless Application Protocol (WAP), cho phép người dùng đăng ký các dịch vụ trả phí và phí sẽ được thêm vào hóa đơn điện thoại của họ. Điều này yêu cầu kết nối qua mạng di động và người dùng click nút đăng ký, một số dịch vụ gửi thêm OTP để xác nhận lại đó là lựa chọn của họ.

Android-app-234.png

Mã độc thực hiện tất cả điều này tự động bằng cách bắt đầu đăng ký, chặn OTP và ngăn chặn các thông báo có thể cảnh báo đến người dùng.

Microsoft đã xác định một số bước xảy ra mà người dùng hoàn toàn không biết:
  • Tắt kết nối wifi hoặc đợi người dùng chuyển sang mạng di động
  • Chuyển hướng âm thầm đến các trang đăng ký
  • Tự động click các nút đăng ký
  • Chặn OTP (nếu có)
  • Gửi OTP đến nhà cung cấp dịch vụ (nếu có)
  • Hủy thông báo SMS (nếu có)

Tắt kết nối wifi

Mã độc bắt đầu thu thập về mạng di động và quốc gia của người dùng mà hệ điều hành Android không yêu cầu quyền của người dùng.

Bước quan trọng nhất là vô hiệu hóa wifi, buộc sử dụng mạng của nhà cung cấp dịch vụ. Trên Android 9 phiên bản API 28 trở xuống điều này có thể thực hiện ở cấp độ quyền bảo vệ bình thường, phiên bản API cao hơn có hàm "requestNetwork" nằm dưới quyền CHANGE_NETWORK_STATE cũng có mức bảo vệ bình thường.

Microsoft đã cho thấy điều này trong mã nguồn của mã độc Joker.

Android-app-346.png

Sau đó, mã độc sử dụng hàm NetworkCallbak để theo dõi lấy các loại mạng cụ thể, buộc thiết bị bỏ qua wifi để sử dụng mạng của nhà cung cấp dịch vụ. Để tránh rủi ro, người dùng có thể vô hiệu hóa dữ liệu di động theo cách thủ công.

Nếu nhà cung cấp dịch vụ di động của nạn nhân nằm trong mục tiêu, mã độc sẽ tìm các trang web và cố gắng đăng ký một cách tự động. Theo Microsoft: "Để mã độc tự động đăng ký, nó sẽ tải trang và chạy các đoạn mã Javascript được thiết kế để nhấp vào các phần tử HTML. Vì người dùng chỉ đăng ký dịch vụ 1 lần, mã độc cũng đánh dấu các trang web đăng ký bằng cookie để tránh đăng ký trùng lặp".

Microsoft cũng lưu ý đôi khi các dịch vụ có xác minh bổ sung, mã độc cũng có các phương án để thực hiện điều đó.

Một số nhà cung cấp dịch vụ chỉ kết thúc đăng ký khi xác thực lại qua các cách SMS, HTTP, USSD. Trong đó SMS và HTTP là các cách phổ biến. Mã độc đánh cắp SMS và việc phân tích gói tin HTTP để lấy các thông tin xác thực cũng không có gi đặc biệt.

Mã độc sử dụng 3 API để chặn SMS
  • cancelAllNotifications(): Loại bỏ tất cả các thông báo
  • cancelNotification(String key): Loại bỏ một thông báo
  • cancelNotifications(String [] keys): Loại bỏ nhiều thông báo
Mã độc cũng có cơ chế ẩn thực hiện các hành vi độc hại càng kín đáo càng tốt. Một trong các cách là giữ mã độc ở trạng thái chờ nếu mạng di động không có trong danh sách. Một cách khác là tải và chạy code từ server, cho phép một số hành vi cụ thể chỉ được tải code về và chạy nếu đáp ứng đủ một số điều kiện nhất định.

Một số cách để ngăn chặn

  • Hạn chế tải app ngoài nguồn Play Store
  • Kiểm tra các quyền của App khi cài đặt
  • Tránh cho phép các app có quyền truy cập đến SMS, các thông báo
Nguồn: BleepingComputer
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
bài đăng có một số lỗi chính tả
Mà mình đk tk dùng tk google ko đc nó báo ko tuân thủ oathu2 policy mong ad fix lại
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Love
Reactions: WhiteHat Team
1 Comment
WhiteHat Team
Cảm ơn bạn đã góp ý, mình sẽ kiểm tra lại nhé ;)
 
Thẻ
mã độc android malware
Bên trên