Thủ thuật

Phát hiện một loại mã độc quảng cáo ảnh hưởng tới hàng nghìn người sử dụng thiết bị Android trên thế giới

(KHCN) - Theo Tóm tắt Tình hình an toàn thông tin đáng chú ý trong tuần 22/2018 của Cục An toàn thông tin – Bộ Thông tin và Truyền thông, mới đây Avast đã tìm ra nhiều phần mềm quảng cáo được cài đặt sẵn trên một vài phiên bản và thiết bị Android, bao gồm những thiết bị từ nhà sản xuất như ZTE và Archos. Hầu hết các thiết bị này không được Google xác nhận.

Phần mềm quảng cáo mà Avast phân tích có tên là Cosiloon, khi lây nhiễm trên máy người dùng sẽ tạo một lớp hiển thị nội dung quảng cáo chồng lên lớp hiển thị chính của trang web. Mã độc này rất khó bị phát hiện hay bóc gỡ vì nó được cài đặt ở mức firmware. Theo thống kê từ Avast, hiện có ít nhất 18.000 thiết bị phân bố tại hơn 100 quốc gia đã cài đặt phần mềm độc hại này.

Các mẫu mã độc Cosiloon mà Avast thu thập đều có đặc điểm tương tự bất kỳ loại phần mềm quảng cáo khác, phổ biến nhất là:

- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service

Qua phân tích, các nhà nghiên cứu phát hiện những gói phần mềm độc hại này được tạo ra từ một ứng dụng độc hại (dropper) cài đặt sẵn bởi nhà sản xuất thiết bị với số lượng rất lớn. Phần mềm dropper là một ứng dụng tự động tải và cài đặt ứng dụng độc hại khác. Đặc biệt hơn nữa, những tập tin APK của dropper có ngày phát hành từ 7/3/2013 tới 1/1/2016, cho thấy nó đã được phát triển liên tục.

Một vài phần mềm quảng cáo sẽ bị phát hiện và chặn bởi trình antivirus, tuy nhiên phần mềm dropper có thể ngay lập tức cài đặt lại hoặc tải phần mềm khác mà trình antivirus không phát hiện được. Và nếu như dropper không được gỡ bỏ triệt để, đối tượng tấn công luôn có cách để cài đặt bất kỳ phần mềm nào lên thiết bị, bao gồm cả mã độc nguy hiểm như ransomware, spyware,…

Sau khi nhận được thông tin, hãng công nghệ Google cũng đã đưa ra giải pháp để giảm thiểu khả năng ảnh hưởng của các biến thể mã độc trên một số dòng thiết bị nhất định. Ngoài việc cập nhật Google Play Protect đảm bảo ngăn chặn những ứng dụng này, Google đã liên hệ và cảnh báo với những nhà phát triển firmware để giải quyết vấn đề. Thống kê của Avast cho thấy số lượng thiết bị bị lây nhiễm đã giảm đáng kể sau khi Google Play Protect phát hiện mã độc Cosiloon. Người dùng cũng có thể tìm và vô hiệu hóa mã độc trong tùy chỉnh thiết bị, thường có tên “CrashService”, “ImeMess” hoặc “Terminal” với biểu tượng hệ điều hành Android thông thường.

Trong tuần, Bộ An ninh Nội địa và Bộ Thương mại Hoa Kỳ vừa phối hợp nghiên cứu, tổng hợp một báo cáo phân tích sâu nhiều vấn đề an toàn thông tin để báo cáo lên Tổng thống. Báo cáo bao gồm nhiều nội dung đề cập đến các cuộc tấn công mạng bằng mạng máy tính bị nhiễm mã độc (botnet) đang là một vấn đề toàn cầu, các thiết bị phải được bảo đảm ATTT tốt hơn và người sử dụng cần phải được đào tạo, tuyên truyền tốt hơn về việc làm thế nào để bảo vệ thiết bị của mình. Những cuộc tấn công bằng mã độc không phải là một vấn đề có thể giải quyết được bởi một cá nhân hay tổ chức đơn lẻ.

Báo cáo cũng liệt kê năm mục tiêu cần thiết để cải thiện tình hình lây nhiễm mã độc:

Mục tiêu 1: Xác định một lộ trình rõ ràng hướng đến thị trường công nghệ có khả năng thích nghi, tự cung ứng và bảo đảm an toàn.

Mục tiêu 2: Khuyến khích đổi mới trong cơ sở hạ tầng để có khả năng thích nghi nhanh chóng với các nguy cơ đang biến đổi.

Mục tiêu 3: Khuyến khích đổi mới để ngăn chặn, phát triển và giảm thiểu các cuộc tấn công tự động, phân tán.

Mục tiêu 4: Khuyến khích và hỗ trợ sự phối hợp giữa các cộng đồng ATTT cho cơ sở hạ tầng và công nghệ điều hành trong nước và toàn thế giới.

Mục tiêu 5: Nâng cao nhận thức và đào tạo trên toàn hệ sinh thái.

Cũng theo Tóm tắt này, một chương trình thí điểm, có tên là “Dự án Indigo”, cho phép thiết lập một kênh chia sẻ thông tin tấn công mạng giữa Trung tâm Phân tích và Chia sẻ Thông tin Dịch vụ Tài chính (FS-ISAC) với cơ quan chức năng về ATTT mạng của Chính phủ Hoa Kỳ. Thông tin được chia sẻ thông qua Trung tâm Phân tích và Phục hồi Hệ thống Tài chính (FSARC). Mục đích chính của Dự án Indigo là giúp thông báo cho Chính phủ Hoa kỳ về các cuộc tấn công mang tính quốc gia nhằm vào các ngân hàng. Một số tổ chức tài chính tham gia vào thỏa thuận đồng ý cho FSARC chia sẻ thông tin là: BNY Mellon, Citigroup, Goldman Sachs, JPMorgan Chase, Morgan Stanley, State Street và Wells Fargo.

Theo một thông cáo báo chí của FSARC, tổ chức này có nhiệm vụ chủ động xác định, phân tích, đánh giá và điều phối các hoạt động nhằm giảm thiểu rủi ro cho hệ thống tài chính của Hoa Kỳ từ các nguy cơ mất ATTT mạng thông qua các hoạt động tăng cường hợp tác giữa các cơ quan, tổ chức tham gia, các đối tác trong lĩnh vực tài chính, ngân hàng và chính phủ Hoa Kỳ.

TH

Thông tin website

Chuyên trang Bản tin khoa học công nghệ.
Thực hiện : Phòng Khoa học - Công nghệ, Trung Tâm CNTT, BộVăn hoá,Thể thao & Du lịch.
Người chịu trách nhiệm chính: Nguyễn Thanh Liêm - Giám đốc.

Địa chỉ: Ngõ 2 số 20, Vân Hồ, Hoa Lư, Hà Nội;
Tel: 0243 9745845
Email: khoahoccongnghe@cinet.gov.vn
Ghi rõ nguồn khi phát lại thông tin từ website này.

Liên hệ Tòa soạn