Trojan root thiết bị Android qua mặt chế độ bảo mật của Google trên Play Store

Mã độc ẩn trong ứng dụng này thông minh tới mức đánh lừa cơ chế bảo mật của Google, giả làm ứng dụng sạch, sau đó thay thế bằng phiên bản nhiễm độc trong một thời gian ngắn. Các nhà nghiên cứu bảo mật tại Kaspersky Lab đã phát hiện ra malware mới này phát tán dưới dạng một ứng dụng game trên Google Play Store, ẩn sau trò chơi xếp hình colourblock đã được tải ít nhất 50.000 lần trước khi bị xóa bỏ.

Mang tên Dvmap, malware root Android này sẽ vô hiệu hóa thiết lập bảo mật của thiết bị để cài đặt ứng dụng nhiễm độc của bên thứ ba và chèn một đoạn mã độc và hệ thống thư viện runtime của thiết bị để chiếm quyền root điện thoại.

"Để vượt qua bảo mật của Google Play Store, người tạo malware này đã sử dụng một phương thức rất thú vị. Họ tải một ứng dụng sạch lên Store vào cuối tháng 3/2017, sau đó cập nhật bằng phiên bản nhiễm độc trong một khoảng thời gian ngắn", các nhà nghiên cứu cho hay. "Thông thường, họ sẽ tải lên bản sạch sau đó trong cùng một ngày. Họ đã làm vậy ít nhất 5 lần giữa ngày 18/4 và 15/5".

Cách thức hoạt động của malware Dvmap

Trojan này hoạt động trên cả bản 32-bit và 64-bit của Andorid, một khi được cài đặt, nó sẽ cố chiếm quyền root thiết bị và cài đặt một số module lên hệ thống, bao gồm một số được viết bằng tiếng Trung cùng với ứng dụng độc có tên com.qualcmm.timeservices.

Mã độc root điện thoại Android nằm trong ứng dụng game xếp hình
Mã độc root điện thoại Android nằm trong ứng dụng game xếp hình

Để đảm bảo module nhiễm độc có thể chạy mà được hệ thống cho phép, malware ghi đè lên thư viện runtime của hệ thống, phụ thuộc vào phiên bản của thiết bị Android của người dùng. Để hoàn tất quá trình cài đặt ứng dụng độc nói trên, trojan có quyền của hệ thống sẽ tắt tính năng Verify Apps và điều chính thiết lập hệ thống, cho phép cài ứng dụng từ bên thứ ba.

"Ngoài ra, nó có thể trao cho ứng dụng com.qualcmm.timeservices quyền quản trị Device Administrator mà không có sự can thiệp của người dùng, chỉ bằng cách chạy lệnh. Đó là cách rất khác lạ để chiếm quyền quản trị". Ứng dụng của bên thứ ba này sẽ kết nối thiết bị nhiễm độc với máy chủ của kẻ tấn công, mang đến quyền kiểm soát hoàn toàn thiết bị cho hacker.

Tuy vậy, các nhà nghiên cứu vẫn chưa biết được thiết bị Android nhiễm độc nhận lệnh nào nên vẫn chưa rõ nó tiến hành thực thi kiểu tập tin nào, nhưng có thể là tập tin quảng cáo hoặc nhiễm độc.

Làm sao để bảo vệ điện thoại khỏi malware Dvmap?

Các nhà nghiên cứu hiện vẫn đang kiểm tra malware này nhưng người dùng đã cài game nói trên được khuyên nên sao lưu dữ liệu điện thoại và thực hiện reset lại dữ liệu nhằm tránh để malware tấn công.

Để bảo vệ điện thoại trước những ứng dụng như vậy, hãy luôn cẩn trọng trước các ứng dụng không đáng tin, đặc biệt là khi tải về từ Google Play Store. Hãy nhớ chỉ trao quyền xác minh ứng dụng khi nội dung có liên quan tới mục đích của ứng dụng đó. Đừng quên đọc phần bình luận của người dùng trước khi cài đặt. Ngoài ra, các ứng dụng chống víu trên điện thoại cũng có thể phát hiện và chặn malware trước khi chúng nhiễm điện thoại của bạn.

12/06/2017 19:14:00
Nguồn:quantrimang.com