Các chuyên gia bảo mật vừa phát hiện được một làn sóng mã độc mới nhằm thẳng vào các thiết bị Android với cách thức và mục đích tấn công hết sức đa dạng, từ đánh cắp thông tin cá nhân cho đến chạy các chương trình làm "thủng ví" người dùng.
Theo cảnh báo của hãng Symantec, một số ứng dụng Android trên quầy ứng dụng App Marketplace hiện nay thực chất là malware trá hình. Chúng có thể khai thác các chương trình đã được cài đặt trên máy để đánh cắp thông tin hoặc tự động tải về các mã độc mới.
Kiểu tấn công này được gọi là Android Class Loading Hijacking, gần tương tự với hình thái tấn công thư viện động DLL trong Windows. Nó xuất phát từ thực tế là nền tảng Android cung cấp các giao diện lập trình ứng dụng (API), cho phép một ứng dụng có thể chủ động tải mã về. Chẳng hạn như một ứng dụng có thể hỗ trợ tải các plug-in về trước rồi sau đó thực thi chúng sau. Tuy nhiên, nếu những plug-in này được lưu trữ ở vùng thiếu an toàn thì quy trình thực thi sau đó có thể bị hacker can thiệp vào, các chuyên gia Symantec cho biết.
Mặc dù vậy, bản chất việc này không liên quan gì tới lỗ hổng trên nền tảng Android mà chủ yếu xuất phát từ bản thân ứng dụng. Symantec cho biết hãng đã phát hiện được một số ứng dụng trên Android Market có khả năng bị tấn công theo hình thức này.
Trong khi đó, hãng bảo mật Lookout lại phát hiện được một biến thể mới của trojan DroidDream, từng ký sinh trong một số ứng dụng đã bị Google gỡ bỏ khỏi Android Market trước đây. Theo Lookout, điều may mắn là DroidDream Light chỉ xuất hiện trên Android Market trong một thời gian ngắn nên số lượt tải về mới giới hạn trong khoảng từ 1000 - 5000 lượt mà thôi. Cả 4 ứng dụng mới đều do một hãng phát triển có tên Mobnet cung cấp.
Cùng lúc, các chuyên gia của Trường Đại học Bắc Caroline lại đưa ra cảnh báo về một mã độc Android mới có tên HippoSMS, được tìm thấy trên chợ ứng dụng của Trung Quốc . Mã độc này được thiết kế với mục đích "đẻ ra" các hóa đơn khổng lồ khi liên tục gửi SMS tới một số điện thoại premium định sẵn. Mã độc này cũng chặn hoặc xóa các tin nhắn SMS mà nhà mạng gửi cho khách hàng để cảnh báo họ về tiền phí phụ trội sẽ bị áp dụng.
Ngoài ra còn có một Trojan chuyên đánh cắp các mật khẩu SMS dùng một lần để đăng nhập ngân hàng từ xa. Dưới lớp trú ẩn là một ứng dụng kích hoạt ngân hàng, malware này sẽ nghe lén tất cả các tin nhắn SMS gửi đến, sau đó chuyển tiếp chúng cho một máy chủ web từ xa. Các mã số dùng một lần mà ngân hàng gửi cho người dùng thông qua tin nhắn SMS để xác thực chéo sẽ bị malware này "chộp được", Symantec cho biết.
Trọng Cầm (Theo CNET)
Anonymous công khai 90.000 tài khoản quân đội Mỹ
Danh tính thành viên LulzSec và Anonymous bị công khai
Phát hiện malware mới trên iOS
Danh tính thành viên LulzSec và Anonymous bị công khai
Phát hiện malware mới trên iOS
Kiểu tấn công này được gọi là Android Class Loading Hijacking, gần tương tự với hình thái tấn công thư viện động DLL trong Windows. Nó xuất phát từ thực tế là nền tảng Android cung cấp các giao diện lập trình ứng dụng (API), cho phép một ứng dụng có thể chủ động tải mã về. Chẳng hạn như một ứng dụng có thể hỗ trợ tải các plug-in về trước rồi sau đó thực thi chúng sau. Tuy nhiên, nếu những plug-in này được lưu trữ ở vùng thiếu an toàn thì quy trình thực thi sau đó có thể bị hacker can thiệp vào, các chuyên gia Symantec cho biết.
Mặc dù vậy, bản chất việc này không liên quan gì tới lỗ hổng trên nền tảng Android mà chủ yếu xuất phát từ bản thân ứng dụng. Symantec cho biết hãng đã phát hiện được một số ứng dụng trên Android Market có khả năng bị tấn công theo hình thức này.
Trong khi đó, hãng bảo mật Lookout lại phát hiện được một biến thể mới của trojan DroidDream, từng ký sinh trong một số ứng dụng đã bị Google gỡ bỏ khỏi Android Market trước đây. Theo Lookout, điều may mắn là DroidDream Light chỉ xuất hiện trên Android Market trong một thời gian ngắn nên số lượt tải về mới giới hạn trong khoảng từ 1000 - 5000 lượt mà thôi. Cả 4 ứng dụng mới đều do một hãng phát triển có tên Mobnet cung cấp.
Cùng lúc, các chuyên gia của Trường Đại học Bắc Caroline lại đưa ra cảnh báo về một mã độc Android mới có tên HippoSMS, được tìm thấy trên chợ ứng dụng của Trung Quốc . Mã độc này được thiết kế với mục đích "đẻ ra" các hóa đơn khổng lồ khi liên tục gửi SMS tới một số điện thoại premium định sẵn. Mã độc này cũng chặn hoặc xóa các tin nhắn SMS mà nhà mạng gửi cho khách hàng để cảnh báo họ về tiền phí phụ trội sẽ bị áp dụng.
Ngoài ra còn có một Trojan chuyên đánh cắp các mật khẩu SMS dùng một lần để đăng nhập ngân hàng từ xa. Dưới lớp trú ẩn là một ứng dụng kích hoạt ngân hàng, malware này sẽ nghe lén tất cả các tin nhắn SMS gửi đến, sau đó chuyển tiếp chúng cho một máy chủ web từ xa. Các mã số dùng một lần mà ngân hàng gửi cho người dùng thông qua tin nhắn SMS để xác thực chéo sẽ bị malware này "chộp được", Symantec cho biết.
Trọng Cầm (Theo CNET)
.svg){kind=icon}
