MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Xuất hiện mã độc tự root máy Android và "gần như không thể gỡ bỏ"
Các nhà nghiên cứu bảo mật từ Lookout đã phát hiện ra một loại mã độc vô cùng nguy hiểm có mặt trong các ứng dụng vi phạm bản quyền, các ứng dụng này được đóng gói lại từ Google Play và tung lên các chợ ứng dụng "lậu".
Trong tuần này, các nhà nghiên cứu bảo mật tại Lookout đã phát hiện ra một loại mã độc quảng cáo (adware) không thể gỡ bỏ khỏi Android sau khi lây nhiễm. Được biết, loại mã độc này được tìm ra sau khi các nhà nghiên cứu nói trên thử phân tích 20.000 ứng dụng giả mạo được đóng gói lại từ các ứng dụng đã xác thực trên Google Play, sau đó đăng tải lên các chợ ứng dụng giả mạo hoặc chợ ứng dụng lậu (bất hợp pháp). Nhìn từ góc độ của người dùng, các ứng dụng giả mạo này không khác gì so với các ứng dụng hợp lệ, và trong nhiều trường hợp chúng có giao diện và trải nghiệm giống hệt như ứng dụng gốc.
Tuy vậy, ở dưới nền, các ứng dụng độc hại này sẽ tìm cách để chiếm quyền root trên Android. Các phương thức tấn công được tìm thấy trên 3 nhóm ứng dụng Shedun, Shuanet và ShiftyBug cho phép các ứng dụng giả mạo này có thể tự cài đặt thành ứng dụng hệ thống, một vai trò vốn chỉ dành riêng cho các chu trình quan trọng của hệ điều hành.
"Với các cá nhân người dùng, việc bị nhiễm Shedun, Shuanet và ShiftyBug có thể sẽ khiến họ phải mua điện thoại mới. Bởi khi các loại mã độc này tự root máy và cài đặt thành các ứng dụng hệ thống, việc gỡ bỏ chúng sẽ gần như là bất khả thi, buộc nạn nhân phải mua mới thiết bị nếu muốn sử dụng bình thường".
Cơ chế giả mạo tinh vi
Các nhà nghiên cứu của Lookout cho biết, các ứng dụng này có vẻ không làm gì ngoài việc hiển thị quảng cáo, nhưng với khả năng hoạt động ở mức hệ thống và cả quyền root, chúng có khả năng loại bỏ các cơ chế bảo mật được tích hợp trong Android. Do Android vốn sử dụng mô hình phân lập sandbox, các ứng dụng thông thường sẽ không được phép truy cập vào mật khẩu hoặc các dữ liệu của các ứng dụng khác. Ngược lại, các ứng dụng hệ thống có quyền root sẽ được phép thoát ra khỏi những chiếc hộp phân lập này. Từ đây, các ứng dụng root có thể đọc hoặc sửa dữ liệu mà các ứng dụng thông thường không thể truy cập được.
"Đầu tiên, chúng tôi đặt ra câu hỏi vì sao ai đó lại muốn lây mã độc lên một ứng dụng xác thực 2 lớp dành cho doanh nghiệp chỉ để hiển thị quảng cáo và bỏ qua các cơ hội khai thác tài khoản người dùng", nghiên cứu của Lookout cho biết. "Tuy vậy, khi nhìn vào mô hình phân phối của máy chủ quản lý, có vẻ như 3 nhóm mã độc này đã tự động đóng gói lại hàng nghìn ứng dụng phổ biến từ các chợ ứng dụng hàng đầu như Google Play. Các ứng dụng chống mã độc không có mặt trong danh sách này, cho thấy kẻ lên kế hoạch thực hiện chiến dịch tấn công này đã có tính toán rõ ràng".
Sau khi các ứng dụng hợp lệ trên Google Play được tải về và đóng gói lại, chúng sẽ được phân phối trên các chợ ứng dụng "đáng ngờ" của bên thứ 3. Theo Lookout, tỷ lệ tấn công cao nhất thuộc về các chợ ứng dụng không hợp pháp tại Mỹ, Đức, Iran, Nga, Ấn Độ, Jamaica, Sudan, Brazil, Mexico và Indonesia. Như vậy, phát hiện mới của Lookout hoàn toàn có thể coi là minh chứng mới nhất về mức độ nguy hiểm của các chợ ứng dụng "lậu" hoặc tự phát.
Hiện tại, chưa có dấu hiệu nào cho thấy các nhóm mã độc này đã lây nhiễm lên Google Play. Tuy vậy, các vụ lây mã độc lên Google Play thường diễn ra vài lần mỗi năm. Nếu như các nhóm mã độc mà Lookout vừa phát hiện có thể lây nhiễm lên các chợ ứng dụng hợp lệ, chúng có thể gây ra mối hại khổng lồ cho người dùng.
Trong nhiều trường hợp, các ứng dụng độc sẽ tận dụng nhiều quyền root để nhắm vào các lỗ hổng có trên một chiếc smartphone được chọn làm mục tiêu. Ví dụ, ShiftyBug có sẵn khả năng tận dụng 8 lỗ hổng khác nhau, có thể kể tới như Memexploit, Framaroot và ExynosAbuse. Các phương thức này đều đã được công bố rộng rãi trên mạng và cũng thường được sử dụng bởi các dịch vụ hợp lệ mà người dùng Android thường sử dụng để root máy khi muốn qua mặt các giới hạn của nhà mạng và nhà sản xuất.
Cuối cùng, mối quan hệ giữa 3 nhóm mã độc có trên 20.000 mẫu adware mà Lookout phát hiện ra cũng chưa được làm rõ. Các biến thể mã độc thường chia sẻ khoảng 71 – 82% mã nguồn, cho thấy rõ ràng là tác giả của mỗi nhóm mã độc có biết tới sự tồn tại của các mã độc còn lại.
Cách phòng tránh
Theo ông Võ Duy Khánh, Trưởng phòng Nghiên cứu Mã độc của Bkav cho biết, để phòng tránh mã độc di động nói chung và mã độc mà Lookout vừa phát hiện, người dùng cần lưu ý:
1. Không nên cài các ứng dụng từ nguồn không tin tưởng, nên cài từ các kho ứng dụng chính thống như Google Play, của SamSung, Sony.
2. Trên các kho ứng dụng chọn ứng dụng có nhiều người dùng, comment tin tưởng
3. Lên tục check và update các bản ROM mới nhất của máy để được cập nhật các bản vá lỗi của Android
4. Sử dụng phần mềm bảo an ninh bảo mật cho di động như Bkav Mobile Security.
Tuy vậy, ở dưới nền, các ứng dụng độc hại này sẽ tìm cách để chiếm quyền root trên Android. Các phương thức tấn công được tìm thấy trên 3 nhóm ứng dụng Shedun, Shuanet và ShiftyBug cho phép các ứng dụng giả mạo này có thể tự cài đặt thành ứng dụng hệ thống, một vai trò vốn chỉ dành riêng cho các chu trình quan trọng của hệ điều hành.
"Với các cá nhân người dùng, việc bị nhiễm Shedun, Shuanet và ShiftyBug có thể sẽ khiến họ phải mua điện thoại mới. Bởi khi các loại mã độc này tự root máy và cài đặt thành các ứng dụng hệ thống, việc gỡ bỏ chúng sẽ gần như là bất khả thi, buộc nạn nhân phải mua mới thiết bị nếu muốn sử dụng bình thường".
Cơ chế giả mạo tinh vi
Các nhà nghiên cứu của Lookout cho biết, các ứng dụng này có vẻ không làm gì ngoài việc hiển thị quảng cáo, nhưng với khả năng hoạt động ở mức hệ thống và cả quyền root, chúng có khả năng loại bỏ các cơ chế bảo mật được tích hợp trong Android. Do Android vốn sử dụng mô hình phân lập sandbox, các ứng dụng thông thường sẽ không được phép truy cập vào mật khẩu hoặc các dữ liệu của các ứng dụng khác. Ngược lại, các ứng dụng hệ thống có quyền root sẽ được phép thoát ra khỏi những chiếc hộp phân lập này. Từ đây, các ứng dụng root có thể đọc hoặc sửa dữ liệu mà các ứng dụng thông thường không thể truy cập được.
Sau khi các ứng dụng hợp lệ trên Google Play được tải về và đóng gói lại, chúng sẽ được phân phối trên các chợ ứng dụng "đáng ngờ" của bên thứ 3. Theo Lookout, tỷ lệ tấn công cao nhất thuộc về các chợ ứng dụng không hợp pháp tại Mỹ, Đức, Iran, Nga, Ấn Độ, Jamaica, Sudan, Brazil, Mexico và Indonesia. Như vậy, phát hiện mới của Lookout hoàn toàn có thể coi là minh chứng mới nhất về mức độ nguy hiểm của các chợ ứng dụng "lậu" hoặc tự phát.
Hiện tại, chưa có dấu hiệu nào cho thấy các nhóm mã độc này đã lây nhiễm lên Google Play. Tuy vậy, các vụ lây mã độc lên Google Play thường diễn ra vài lần mỗi năm. Nếu như các nhóm mã độc mà Lookout vừa phát hiện có thể lây nhiễm lên các chợ ứng dụng hợp lệ, chúng có thể gây ra mối hại khổng lồ cho người dùng.
Trong nhiều trường hợp, các ứng dụng độc sẽ tận dụng nhiều quyền root để nhắm vào các lỗ hổng có trên một chiếc smartphone được chọn làm mục tiêu. Ví dụ, ShiftyBug có sẵn khả năng tận dụng 8 lỗ hổng khác nhau, có thể kể tới như Memexploit, Framaroot và ExynosAbuse. Các phương thức này đều đã được công bố rộng rãi trên mạng và cũng thường được sử dụng bởi các dịch vụ hợp lệ mà người dùng Android thường sử dụng để root máy khi muốn qua mặt các giới hạn của nhà mạng và nhà sản xuất.
Cuối cùng, mối quan hệ giữa 3 nhóm mã độc có trên 20.000 mẫu adware mà Lookout phát hiện ra cũng chưa được làm rõ. Các biến thể mã độc thường chia sẻ khoảng 71 – 82% mã nguồn, cho thấy rõ ràng là tác giả của mỗi nhóm mã độc có biết tới sự tồn tại của các mã độc còn lại.
Cách phòng tránh
Theo ông Võ Duy Khánh, Trưởng phòng Nghiên cứu Mã độc của Bkav cho biết, để phòng tránh mã độc di động nói chung và mã độc mà Lookout vừa phát hiện, người dùng cần lưu ý:
1. Không nên cài các ứng dụng từ nguồn không tin tưởng, nên cài từ các kho ứng dụng chính thống như Google Play, của SamSung, Sony.
2. Trên các kho ứng dụng chọn ứng dụng có nhiều người dùng, comment tin tưởng
3. Lên tục check và update các bản ROM mới nhất của máy để được cập nhật các bản vá lỗi của Android
4. Sử dụng phần mềm bảo an ninh bảo mật cho di động như Bkav Mobile Security.
Gia Bảo
Theo ArsTechnica