Phát hiện trường hợp đầu tiên Trojan di động phát tán thông qua botnet “alien”

Hơn 3 tháng trước, các nhà phân tích của Kaspersky đã tiến hành nghiên cứu sự phát tán Trojan Obad.a, một ứng dụng độc hại dành cho Android. Kết quả nghiên cứu cho thấy, tội phạm đứng sau Trojan này đã áp dụng một kỹ thuật mới để phát tán phần mềm độc hại của chúng. Theo đó, lần đầu tiên trong lịch sử tội phạm mạng trên di động, một Trojan được phát tán bằng botnet kiểm soát bởi các nhóm tội phạm khác.

Người dùng được yêu cầu tải game về từ trang giả mạo.Người dùng được yêu cầu tải game về từ trang giả mạo.

Theo các chuyên gia Kaspersky, mô hình phân phối thú vị nhất của phần mềm độc hại này là các phiên bản khác nhau của Obad.a phát tán với Trojan-SMS.AndroidOS.Opfake.a. Cố gắng lây nhiễm gấp đôi này bắt đầu với một tin nhắn văn bản đến người dùng, yêu cầu họ tải tin nhắn vừa nhận được. Nếu nạn nhân nhấp chuột vào liên kết, một tập tin chứa Opfake.a tự động tải về smartphone hoặc máy tính bảng.

Tập tin độc hại chỉ được cài đặt khi người dùng khởi chạy nó sau đó. Trojan sẽ gửi tin nhắn tương tự đến tất cả số liên lạc lưu trên thiết bị mới bị nhiễm.

Nghiên cứu của Kaspersky cho thấy, Obad.a hầu như được tìm thấy ở các nước CIS với tổng cộng 83% cố gắng lây nhiễm được ghi nhận ở Nga, trong khi các phát hiện khác xuất hiện trên thiết bị di động ở Ukraine, Belarus Uzbekistan và Kazakhstan.

Ngoài việc dùng botnet di động, Trojan có độ phức tạp cao này cũng phân phối bằng các tin nhắn rác, con đường chuyên chở của Trojan Obad.a. Thông thường một tin nhắn cảnh báo người sử dụng chưa trả nợ "hút" nạn nhân theo một liên kết tự động tải Obad.a vào thiết bị di động. Tuy nhiên, người dùng phải chạy các tập tin tải về để cài đặt Trojan.

Các kho ứng dụng giả mạo, sao chép nội dung các trang Google Play và thay thế những liên kết hợp pháp bằng liên kết độc hại, lan truyền Backdoor.AndroidOS.Obad.a. Khi các trang hợp pháp bị xâm nhập và người dùng bị chuyển hướng đến một trang nguy hiểm khác, Obad.a “độc quyền” nhắm vào người sử dụng điện thoại di động - nếu nạn nhân tiềm năng nhập các trang web từ một máy tính ở nhà không có gì xảy ra, nhưng điện thoại thông minh và máy tính bảng của bất kỳ hệ điều hành nào đều có thể bị chuyển hướng đến các trang web giả mạo (mặc dù chỉ có người dùng Android có nguy cơ).

Một nhà mạng di động ở Nga cho biết, có hơn 600 tin nhắn chứa những liên kết này được phát tán chỉ trong 5 giờ. Hầu hết các trường hợp phần mềm độc hại được phát tán sử dụng các thiết bị đã bị lây nhiễm.

Trong 3 tháng qua, chúng tôi đã khám phá 12 phiên bản của Backdoor.AndroidOS.Obad.a. Tất cả chúng đều có chung chức năng và mã hóa giả nội dung mã cao (code obfuscation), từng sử dụng lỗ hổng của Android OS để cung cấp cho chương trình độc hại DeviceAdministrator các quyền và khiến nó khó bị xóa bỏ hơn. Ngay khi khám phá ra, chúng tôi đã thông báo đến Google và lỗ hổng đã được đóng ở Android 4.3. Tuy nhiên, chỉ một số smartphone và máy tính bảng mới chạy phiên bản này, và các thiết bị chạy những phiên bản cũ hơn vẫn còn bị đe dọa. Obad.a, sử dụng một số lượng lớn các lỗ hổng chưa được công bố, giống các chương trình độc hại cho Windows hơn là Trojan cho Android”, Roman Unuchek, Trưởng nhóm chống Virus, Kaspersky Lab cho biết thêm…

(KD)