Android dường như đã trở thành mục tiêu tấn công ưa thích của các nhóm chuyên viết phần mềm virus trên thế giới, với các phần mềm độc hại có cách thức lây nhiễm vào nhiều thiết bị khác nhau được phát hiện mỗi ngày.

Mới đây, công ty chuyên về Bảo mật - Trend Micro đã đưa ra cảnh báo về một backdoor mới trên Android có tên gọi là GhostCtrl và là một phiên bản của phần mềm OmniRAT nổi tiếng đã được phát hiện vào cuối năm 2015, gây ảnh hưởng đến một loạt các nền tảng, bao gồm Windows, Linux và Mac.

Ma doc moi tren Android: danh cap moi thu tu smartphone va do tham nguoi dung - Anh 1

Backdoor là một chương trình (program) hoặc có liên quan đến chương trình, được hacker sử dụng để cài đặt trên hệ thống đích, nhằm mục đích cho anh ta truy cập trở lại hệ thống vào lần sau. Mục đích của backdoor là xóa bỏ một cách minh chứng hệ thống ghi nhật ký.

GhostCtrl đặc biệt cố gắng lây nhiễm vào các thiết bị Android và nó lây lan thành các APK độc lập có tên như App, MMS, Whatsapp, hoặc Pokemon GO. APK là viết tắt của cụm từ tiếng Anh "Android application package" (tạm dịch là bộ cài đặt ứng dụng trên hệ điều hành Android). Phần mềm độc hại đã được phát hiện trong ba phiên bản khác nhau, với những hacker tay nghề cao có thể kiểm soát hoàn toàn thiết bị, chiếm quyền truy cập và chuyển dữ liệu lưu trữ cục bộ.

Theo các chuyên gia, APK độc hại, sau khi được kích hoạt một cách tự động bởi một gói APK, sẽ yêu cầu người dùng cài đặt nó. Ngay cả khi người dùng hủy bỏ yêu cầu “cài đặt trang", tin nhắn vẫn sẽ bật lên ngay lập tức. APK độc hại không có biểu tượng. Sau khi cài đặt, APK wrapper sẽ khởi chạy một dịch vụ cho phép APK nguy hiểm, chạy trên nền.

Kiểm soát hoàn toàn thiết bị

Phần mềm độc hại sử dụng một dịch vụ có tên gọi là com.android.engine nên có thể dễ dàng lừa người dùng tin rằng đó là một quy trình hợp pháp mà không cần phải hủy bỏ. Khi lây nhiễm vào thiết bị, GhostCtrl đang chờ lệnh bằng cách kết nối với máy chủ C & C trên cổng 3176.

Quá trình lây nhiễm này cho phép tin tặc ăn cắp được bất cứ thứ gì từ thiết bị đã bị xâm nhập, bao gồm nhật ký cuộc gọi, hồ sơ SMS, số liên lạc, số điện thoại, số seri, vị trí và dấu trang của trình duyệt. Hơn nữa, nó có thể lấy dữ liệu từ máy ảnh, chạy quá trình, và thậm chí là hình nền. Và điều tồi tệ nhất, tin tặc có thể bắt đầu quay camera hoặc ghi lại âm thanh và sau đó tải nội dung lên máy chủ, với tất cả dữ liệu được mã hóa.

Các nhóm viết phần mềm virus cũng có thể gửi các lệnh đến điện thoại bị xâm nhập để thực hiện các tác vụ đặc biệt khác, như đặt lại mật khẩu của một tài khoản đã được cấu hình hoặc làm cho điện thoại phát các hiệu ứng âm thanh khác nhau.

Cũng giống như bất kỳ phần mềm độc hại nào, để bảo đảm sự an toàn cho các thiết bị, người dùng nên tránh tải xuống các APK từ các nguồn không đáng tin cậy. Trend Micro phát hiện phần mềm độc hại là ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA.

Hoàng Thanh (theo SoftMedia)