Tống tiền người dùng Android bằng phần mềm giả danh cảnh sát

Hãng an toàn bảo mật Kaspersky Lab vừa cho biết, trong tháng 4/2014, hãng này đã phát hiện phần ẩn của một chiến dịch độc hại, trong đó có nói đến phần mềm tống tiền trên điện thoại di động (ransomeware) với tên gọi Koler “police” (cảnh sát) cho các thiết bị Android.

Ảnh minh họa.Ảnh minh họa.

Theo các chuyên gia Kaspersky Lab, phần bị ẩn này bao gồm một số ransomeware hoạt động trên trình duyệt cùng với bộ khai thác lỗ hổng. Những kẻ đứng sau các cuộc tấn công này âm mưu sử dụng một chương trình bất thường để quét các hệ thống của nạn nhân, và linh hoạt cung cấp phần mềm tống tiền tùy thuộc vào vị trí và loại thiết bị - điện thoại di động hoặc máy tính.

Bước tiếp theo chúng sẽ tiến hành là chuyển hướng cơ sở dữ liệu (chuyển hướng cả người dùng và các công cụ tìm kiếm đến một URL khác so với một trong những yêu cầu ban đầu) sau khi nạn nhân truy cập một trong số 48 trang web khiêu dâm độc hại bất kỳ vận hành bởi những kẻ tạo ra Koler.

Việc chúng sử dụng những trang web khiêu dâm để cài đặt ransomware không phải là ngẫu nhiên, vì trên thực tế, nạn nhân sẽ cảm thấy “tội lỗi” về trình duyệt có nội dung như vậy và sẵn sàng nộp tiền phạt khi bị tống tiền.

Những trang web khiêu dâm sẽ chuyển hướng người dùng đến các trung tâm sử dụng hệ thống phân phối lưu lượng Keitaro (TDS) để chuyển hướng người dùng một lần nữa. Tùy thuộc vào một số điều kiện, việc chuyển hướng lần thứ hai này có thể dẫn đến ba trường hợp nhiễm độc khác nhau như sau:

- Cài đặt các ransomware Koler trên di động: Trong trường hợp điện thoại di động cho phép các trang web tự động chuyển hướng người dùng đến các ứng dụng độc hại thì người dùng vẫn phải xác nhận việc tải xuống và cài đặt ứng dụng tên là animalporn.apk. Đây thực sự là Koler ransomware. Nó sẽ chặn các màn hình của thiết bị bị nhiễm và yêu cầu một khoản tiền chuộc từ 100 - 300 USD để mở khóa. Các phần mềm độc hại sẽ hiển thị một tin nhắn giả danh từ cảnh sát của địa phương làm cho nó thực tế hơn.

- Chuyển hướng đến bất kỳ trang web trình duyệt ransomware: Một bộ điều khiển đặc biệt sẽ kiểm tra liệu người dùng có nằm trong 30 quốc gia bị ảnh hưởng bởi các tác nhân này hay không; người sử dụng không phải là một người dùng Android và không sử dụng trình duyệt Internet Explorer. Người dùng không lo bị nhiễm mã độc trong trường hợp này, chỉ có một cửa sổ pop-up hiển thị một mẫu thông báo chặn trên thiết bị di động. Tuy nhiên, người dùng có thể dễ dàng tránh việc bị chặn chỉ với 1 thao tác đơn giản là nhấn tổ hợp phím Alt+F4.

- Chuyển hướng đến một trang web có chứa các Angler Exploit Kit: Đây là một phần mềm quảng cáo “đội lốt” một trình duyệt hữu ích, nhưng trên thực tế Angler Exploit Kit buộc bạn phải truy cập trang web và phát quảng cáo không đáng tin cậy, có thể chuyển hướng trình duyệt đến các trang web không mong muốn có chứa nhiều virus và phần mềm gián điệp. Angler Exploit Kit có thể tự nhân bản và lây nhiễm sang các file hệ thống. Nếu người dùng sử dụng trình duyệt Internet Explorer, người dùng sẽ được dẫn đến những trang chủ (hosting) của Angler Exploit Kit, được dùng để khai thác Silverlight, Adobe Flash và Java. Trong suốt quá trình phân tích của Kaspersky Lab, các mã khai thác này có đầy đủ chức năng, tuy nhiên nó không cung cấp bất bất kỳ việc tải dữ liệu nào, nhưng điều này có thể thay đổi trong tương lai gần nhất…

Trước nguy cơ này, các chuyên gia Kaspersky Lab đã đưa ra lời khuyên với người dùng: Hãy nhớ rằng bạn sẽ không bao giờ nhận được tin nhắn đòi tiệc chuộc từ cảnh sát, vì vậy không bao giờ trả tiền cho các tin nhắn này; Không cài đặt bất kỳ ứng dụng nào mà bạn tìm thấy trong quá trình duyệt web; Không truy cập vào trang web mà bạn không tin tưởng; Sử dụng một giải pháp chống virus đáng tin cậy.

Theo các chuyên gia này, mặc dù kể từ ngày 23/7 các thành phần liên quan đến di động của chiến dịch trên đã bị gián đoạn, cũng như các máy chủ C&C bắt đầu gửi lệnh “gỡ bỏ” đến điện thoại của nạn nhân, xóa bỏ một cách hiệu quả các ứng dụng độc hại. Nhưng Kaspersky vẫn phải chú ý đến phần mềm độc hại này, vì phần còn lại của các thành phần độc hại đối với người dùng máy tính bao gồm bộ khai thác lỗ hổng vẫn còn hoạt động.

Được biết, trong số gần 200.000 người truy cập vào những tên miền nhiễm độc trên điện thoại di động kể từ đầu chiến dịch, phần lớn sống tại Mỹ (80% - 146.650), tiếp theo đến Anh (13.692), Australia (6.223), Canada (5.573), Saudi Arabia (1.975) và Đức (1.278).

Kaspersky Lab đã chia sẻ những phát hiện của mình cho Europol và Interpol, cũng như đang hợp tác với các cơ quan thực thi pháp luật để tìm hiều về khả năng đóng cửa các cơ sở dữ liệu của những tên miền độc hại này…

(GN)