Một loại mã độc mới trên Android có khả năng ghi lại nội dung cuộc điện thoại của người dùng để tống tiền họ sau đó vừa được phát hiện.
Các nhà nghiên cứu của Wandera vừa phát hiện ra một loại mã độc mới xuất hiện trên Android. Họ đặt tên cho loại malware này là "RedDrop" và nó đã được phát hiện trong 53 ứng dụng trên trên Android tại các của hàng của bên thứ ba, bao gồm ứng dụng tính toán, trình biên tập ảnh, công cụ quản lý ổ đĩa.
Tất cả ứng dụng bị lây nhiễm này đều yêu cầu rất nhiều quyền, trong đó có một quyền cho phép mã độc trên có thể chạy ngay cả khi thiết bị khởi động lại. Hơn nữa, kẻ đứng đằng sau mã độc RedDrop đã sử dụng hơn 4000 tên miền bị xâm nhập để phát tán các ứng dụng bị nhiễm mã độc.
Quá trình được hacker sử dụng để phát tán mã độc (theo Wandera). |
Mã độc mới vừa bị phát hiện này là một phần mềm độc hại, có khả năng đánh cắp dữ liệu cá nhân từ thiết bị Android, ghi lại các cuộc trò truyện và tiếng ồn xung quanh để tống tiền nạn nhân sau đó.
Một khi ứng dụng bị nhiễm được khởi chạy, nó sẽ tải thêm 7 ứng dụng độc hại khác với các chức năng gián điệp và trích xuất dữ liệu. Khi người dùng bắt đầu sử dụng ứng dụng đã bị nhiễm mã độc, nó sẽ gửi tin nhắn SMS đến một dịch vụ trả phí để sử dụng tiền của nạn nhân mà không bị phát hiện.
Dữ liệu bị đánh cắp bởi RedDrop bao gồm ảnh, danh sách liên lạc, số IMEI và IMSI, thông tin thẻ SIM, mạng Wi-Fi gần đó và bản ghi âm các âm thanh xung quanh thiết bị đã bị lây nhiễm. Sau khi thu thập thành công các dữ liệu trên, phần mềm độc hại sẽ gửi chúng tới thư mục Dropbox và Google Drive của kẻ phát triển và được chúng (hacker) sử dụng để tống tiền.
“Cách thức tấn công này là rất độc đáo. Kẻ sử dụng mã độc này đã khéo léo sử dụng một ứng dụng có vẻ hữu ích trước một hoạt động phức tạp với ý đồ xấu. Đây là một trong những biến thể của mã độc tấn công dai dẳng mà chúng tôi đã thấy.” - Tiến sĩ, Phó phòng Chiến lược Sản phẩm của Wandera cho biết.
Theo các nhà nghiên cứu của Wandera, RedDrop là một trong những phần mềm độc hại Android tinh vi nhất mà họ đã thấy vừa được phát tán rộng rãi. Do đó, người dùng Android có nguy cơ và nên tải xuống ứng dụng từ Google Play Store hoặc chỉ từ các trang web đáng tin cậy.
Phần mềm độc hại này lần đầu tiên được phát hiện trên một máy chủ ở Trung Quốc khi nó "lôi kéo" các nạn nhân vào thăm một tên miền chứa nội dung nhạy cảm. Tuy nhiên, hiện vẫn còn chưa rõ ai đứng đằng sau cũng như sự phát triển và phân phối phần mềm độc hại này.