Bao duong dieu hoa gia re tai nha - Check Point vừa phát hiện trên Google Play 1 dòng mã độc (malware) mới nhằm vào các thứ chạy hệ điều hành Android sở hữu tên gọi là Viking Horde. Viking Horde tiến hành gian lận quảng cáo, nhưng cũng sở hữu thể được sử dụng cho các mục đích tấn công khác như DDoS (từ chối dịch vụ), tin nhắn rác,... đến nay đã có ít nhất là 5 ứng dụng nhiễm Viking Horde qua mặt cơ chế kiểm tra mã độc của Google Play.
Check Point đã thông báo cho Google về malware này ngày 05 tháng 5 năm 2016.
Check Point vừa phát hiện trên Google Play 1 cái malware mới nhằm vào các thứ chạy hệ điều hành Android với tên gọi là Viking Horde
Trên những thiết bị chạy Andoid, Viking Horde tạo ra 1 botnet tiêu dùng những shop IP ẩn sau proxy để nguỵ trang các cú nhấp chuột quảng bá, sinh thu nhập cho kẻ tấn công. Botnet (mạng máy tính “ma”) là một nhóm các đồ vật bị tin tặc kiểm soát mà chủ nhân không biết. Botnet càng lớn thì tác hại càng lớn.
Trên các đồ vật Android độ lại (gọi là “root”), Viking Horde sở hữu chức năng bổ sung với thể thực hiện mã lệnh bất kỳ từ xa, gây ảnh hưởng đến sự an toàn của dữ liệu trên thứ. Nó còn lợi dụng các đặc quyền root (quyền cao nhất trên thiết bị) để làm cho nó khó bị gỡ bỏ hoặc thậm chí không thể gỡ bỏ.
Màn ra mắt
Vicking Jum
Ứng dụng nhiễm Viking Horde được tải về đa dạng nhất là Viking Jump, được đưa lên Google Play vào ngày 15/04 và đã sở hữu khoảng 50.000-100.000 lượt tải. Đây là ứng dụng Google Play miễn phí đứng đầu ở 1 số thị trường.
Ứng dụng trước tiên là Wi-Fi Plus, được đưa lên Google Play vào ngày 29/03. một số ứng dụng khác như Memory Booster, Parrot Copter và Simple 2048. tất cả ứng dụng nhiễm Viking Horde đều bị đánh giá khá thấp, dich vu bao duong dieu hoa tai nha theo phỏng đoán của nhóm nghiên cứu sở hữu thể là do người mua đã nhận thấy các hành vi kỳ lạ, chẳng hạn như yêu cầu quyền root.
Botnet do Viking Horde tạo ra đã lan rộng trên toàn thế giới. Nhóm nghiên cứu Check Point đã thu thập dữ liệu phân bố nạn nhân từ một trong phổ biến máy chủ chỉ huy và điều khiển (C&C) được tin tặc dùng, thể hiện trong hình minh họa dưới đây:
phương pháp thức Viking Horde làm việc
Từ nghiên cứu mã lệnh Viking Horde và các máy chủ C&C được dùng trong những cuộc tấn công, nhóm nghiên cứu đã phác hoạ được tiến trình của malware này.
1. thứ nhất nó được cài đặt từ Google Play. Trong lúc ứng dụng khởi tạo trò chơi, nó sẽ cài đặt một số thành phần bên ko kể thư mục của ứng dụng. những thành phần này được đặt tên một cách ngẫu nhiên mang những tên hệ thống kém chất lượng từ một danh sách định sẵn, chẳng hạn như core.bin, clib.so, android.bin và update.bin. Chúng được cài ở thư mục root/data trường hợp là thứ được độ lại, còn ko thì cài trên thẻ SD. một trong các tập tin được dùng để trao đổi thông tin giữa những thành phần của malware. Tập tin trang bị hai chứa danh sách những tên thành phần được tạo ra.
2. Malware sau đó kiểm tra xem đồ vật với độ lại hay không:
• trường hợp thiết bị là độ lại, malware kích hoạt hai thành phần bổ sung:
- app_exec: Thực hiện giao thức liên lạc mang máy chủ.
- app_exec_watch_dog Binary: Thực hiện cơ chế cập nhật và duy trì. Watchdog giám sát công đoạn app_exec và khởi động lại nó ví như thiết yếu.
• giả dụ vật dụng chẳng phải độ lại, malware nạp tập tin app_exec tập tin làm cho thư viện dùng chung và gọi các hàm của nó bằng JNI (Java Native Interface).
Trong cả hai nếu, một lúc ứng dụng app_exec được cài đặt, nó thiết lập 1 kết nối TCP mang máy chủ C&C và bắt đầu thông tin liên lạc có các lệnh sau:
• Ping. Cứ mỗi 10 giây ứng dụng gửi 5 byte tới máy chủ. Máy chủ trả lời cũng 5 byte.
• Cập nhật những thông tin thiết bị: Gửi tới máy chủ thông tin về pin, kiểu kết nối và số điện thoại.
3. Bước tiếp theo thực hiện chức năng gian lận chính bằng bí quyết tạo ra 1 kết nối proxy nặc danh. C&C sẽ gửi 1 lệnh "create_proxy" có những tham số là 2 liên hệ IP và cổng sử dụng để mở hai socket, một cho 1 máy chủ ở xa và 1 cho mục tiêu từ xa. Sau đấy nó đọc dữ liệu nhận được từ socket trước tiên và chuyển đến mục tiêu. sử dụng công nghệ này, nhà tăng trưởng malware này (hoặc ai ấy sử dụng malware này như dịch vụ) mang thể ẩn IP của mình đằng sau IP của đồ vật bị nhiễm.
Hoạt động botnet
Điều quan trọng là phải hiểu rằng ngay cả sở hữu trang bị ko độ lại, Viking Horde cũng mang thể biến thành 1 proxy có khả năng gửi và nhận thông tin theo lệnh của kẻ tấn công. Dưới đây là ví dụ 1 đồ vật bị lây nhiễm nhìn thấy từ máy chủ C&C của kẻ tấn công.
Ở đây, remoteIP là IP của proxy, và socksIP là IP của máy chủ C&C. C&C đựng 1 số thông tin về thiết bị bao gồm phiên bản hệ điều hành, tình trạng pin và tọa độ GPS. Trong nếu này, đồ vật nằm ở Mỹ tiêu dùng mạng T-Mobile.
Botnet này được kiểm soát bởi phổ biến máy chủ C&C, mỗi máy chủ quản lý vài trăm trang bị. Mục tiêu chính của malware là chiếm quyền điều khiển thiết bị và sau ấy sử dụng nó để giả lập những cú nhấp chuột vào quảng bá ở những website để thu lợi nhuận. Malware phải proxy này để qua mặt các cơ chế chống gian lận quảng cáo trên mạng bằng bí quyết tiêu dùng các địa chĩ IP phân tán.
1 số đánh giá người mua về ứng dụng trên còn khẳng định nó gửi những tin nhắn SMS với mức phí cao, như trong ảnh chụp màn hình dưới đây. Botnet này với thể được tiêu dùng cho những mục đích phá hoại khác nhau, chẳng hạn như tấn công DDoS, gửi thư rác và phát tán malware.
Malware dai dẳng
Malware này dùng 1 số kỹ thuật để duy trì sự hiện diện trên trang bị. thứ nhất, Viking Horde cài đặt 1 số thành phần có tên liên quan tới hệ thống, vì thế chúng khó xác định và gỡ bỏ.
nếu đồ vật được độ lại, còn với thêm hai cơ chế:
Thành phần app_exec giám sát sự tồn tại của ứng dụng chính. nếu người dùng gỡ bỏ ứng dụng chính, app_exec sẽ giải mã 1 thành phần với tên là com.android.security và lặng lẽ cài đặt nó. Thành phần này sẽ được ẩn đi và chạy sau khi khởi động. bao duong dieu hoa tai ha noi gia re Thành phần này là bản sao của chính nó và với cộng những tính năng.
Thành phần watchdog cài đặt các bản cập nhật thành phần app_exec. trường hợp app_exec bị gỡ bỏ, watchdog sẽ cài đặt lại nó từ thư mục cập nhật.
1 số các bạn thậm chí còn nhận thấy hoạt động này:
Thành phần bổ sung cho đồ vật độ lại
có lẽ tính năng nguy hiểm nhất đó là cơ chế cập nhật. Cơ chế này được phân chia giữa các thành phần app_exec và watchdog. app_exec tải về tập tin thực thi mới từ máy chủ và lưu nó vào thư mục /data sở hữu tên app_exec_update.
Watchdog định kỳ kiểm tra xem tập tin cập nhật sở hữu tồn tại ko và thay thế app_exec bằng tập tin này. Điều này sở hữu nghĩa khi sở hữu lệnh của máy chủ, Viking Horde sẽ tải tập tin thực thi mới mới. Thành phần watchdog sẽ sử dụng nó thay ứng dụng. Điều này cho phép việc tải về và thực thi mã lệnh bất kỳ từ xa trên thiết bị.
0 nhận xét:
Đăng nhận xét