Check Point đã thông báo cho Google về malware này ngày 05 tháng 5 năm 2016.
Check Point vừa phát hiện trên Google Play một loại malware mới nhằm vào các thiết bị chạy hệ điều hành Android có tên gọi là Viking Horde |
Trên các thiết bị Android độ lại (gọi là “root”), Viking Horde có chức năng bổ sung có thể thực hiện mã lệnh bất kỳ từ xa, gây ảnh hưởng đến sự an toàn của dữ liệu trên thiết bị. Nó còn lợi dụng các đặc quyền root (quyền cao nhất trên thiết bị) để làm cho nó khó bị gỡ bỏ hoặc thậm chí không thể gỡ bỏ.
Màn ra mắt
Vicking Jum |
Ứng dụng đầu tiên là Wi-Fi Plus, được đưa lên Google Play vào ngày 29/03. Một số ứng dụng khác như Memory Booster, Parrot Copter và Simple 2048. Tất cả ứng dụng nhiễm Viking Horde đều bị đánh giá khá thấp, theo phỏng đoán của nhóm nghiên cứu có thể là do người dùng đã nhận thấy những hành vi kỳ lạ, chẳng hạn như yêu cầu quyền root.
Cách thức Viking Horde làm việc
Từ nghiên cứu mã lệnh Viking Horde và các máy chủ C&C được sử dụng trong các cuộc tấn công, nhóm nghiên cứu đã phác hoạ được tiến trình của malware này.
2. Malware sau đó kiểm tra xem thiết bị có độ lại hay không:
• Nếu thiết bị là độ lại, malware kích hoạt hai thành phần bổ sung:
- app_exec: Thực hiện giao thức liên lạc với máy chủ.
- app_exec_watch_dog Binary: Thực hiện cơ chế cập nhật và duy trì. Watchdog giám sát quá trình app_exec và khởi động lại nó nếu cần thiết.
• Nếu thiết bị không phải độ lại, malware nạp tập tin app_exec tập tin làm thư viện dùng chung và gọi các hàm của nó bằng JNI (Java Native Interface).
Trong cả hai trường hợp, một khi ứng dụng app_exec được cài đặt, nó thiết lập một kết nối TCP với máy chủ C&C và bắt đầu thông tin liên lạc với các lệnh sau:
• Ping. Cứ mỗi 10 giây ứng dụng gửi 5 byte đến máy chủ. Máy chủ trả lời cũng 5 byte.
• Cập nhật các thông tin thiết bị: Gửi đến máy chủ thông tin về pin, kiểu kết nối và số điện thoại.
3. Bước tiếp theo thực hiện chức năng gian lận chính bằng cách tạo ra một kết nối proxy nặc danh. C&C sẽ gửi một lệnh "create_proxy" với các tham số là 2 địa chỉ IP và cổng dùng để mở hai socket, một cho một máy chủ ở xa và một cho mục tiêu từ xa. Sau đó nó đọc dữ liệu nhận được từ socket đầu tiên và chuyển đến mục tiêu. Sử dụng kỹ thuật này, nhà phát triển malware này (hoặc ai đó sử dụng malware này như dịch vụ) có thể ẩn IP của mình đằng sau IP của thiết bị bị nhiễm.
Hoạt động botnet
Điều quan trọng là phải hiểu rằng ngay cả với thiết bị không độ lại, Viking Horde cũng có thể biến thành một proxy có khả năng gửi và nhận thông tin theo lệnh của kẻ tấn công. Dưới đây là ví dụ một thiết bị bị lây nhiễm nhìn thấy từ máy chủ C&C của kẻ tấn công.
Ở đây, remoteIP là IP của proxy, và socksIP là IP của máy chủ C&C. C&C chứa một số thông tin về thiết bị bao gồm phiên bản hệ điều hành, tình trạng pin và tọa độ GPS. Trong trường hợp này, thiết bị nằm ở Mỹ dùng mạng T-Mobile.
Một số đánh giá người dùng về ứng dụng trên còn khẳng định nó gửi các tin nhắn SMS có mức phí cao, như trong ảnh chụp màn hình dưới đây. Botnet này có thể được sử dụng cho các mục đích phá hoại khác nhau, chẳng hạn như tấn công DDoS, gửi thư rác và phát tán malware.
Malware này sử dụng một số kỹ thuật để duy trì sự hiện diện trên thiết bị. Đầu tiên, Viking Horde cài đặt một số thành phần với tên liên quan đến hệ thống, do đó chúng khó xác định và gỡ bỏ.
Nếu thiết bị được độ lại, còn có thêm hai cơ chế:
Thành phần app_exec giám sát sự tồn tại của ứng dụng chính. Nếu người dùng gỡ bỏ ứng dụng chính, app_exec sẽ giải mã một thành phần có tên là com.android.security và âm thầm cài đặt nó. Thành phần này sẽ được ẩn đi và chạy sau khi khởi động. Thành phần này là bản sao của chính nó và có cùng các tính năng.
Thành phần watchdog cài đặt các bản cập nhật thành phần app_exec. Nếu app_exec bị gỡ bỏ, watchdog sẽ cài đặt lại nó từ thư mục cập nhật.
Một số người dùng thậm chí còn nhận thấy hoạt động này:
Có lẽ tính năng nguy hiểm nhất đó là cơ chế cập nhật. Cơ chế này được phân chia giữa các thành phần app_exec và watchdog. app_exec tải về tập tin thực thi mới từ máy chủ và lưu nó vào thư mục /data với tên app_exec_update.
Watchdog định kỳ kiểm tra xem tập tin cập nhật có tồn tại không và thay thế app_exec bằng tập tin này. Điều này có nghĩa khi có lệnh của máy chủ, Viking Horde sẽ tải tập tin thực thi mới mới. Thành phần watchdog sẽ dùng nó thay ứng dụng. Điều này cho phép việc tải về và thực thi mã lệnh bất kỳ từ xa trên thiết bị.
Phụ lục 1: tên các gói ứng dụng
• com.Jump.vikingJump
• com.esoft.wifiplus
• com.fa.simple2048
• com.android.wifiman
• Com.g.o.speed.memboost
• Com.f.a.android.flyingcopters
Phụ lục 2: danh sách các máy chủ C&C
• www[.]adautoexchange[.]com
• www[.]adexchng[.]com
• www[.]adexchnge[.]com
• www[.]adexchangetech[.]com
Phụ lục 3: mã nhị phân SHA256 bị nhiễm
85e6d5b3569e5b22a16245215a2f31df1ea3a1eb4d53b4c286a6ad2a46517b0c
254c1f16c8aa4c4c033e925b629d9a74ccb76ebf76204df7807b84a593f38dc0
ebfef80c85264250b0e413f04d2fbf9e66f0e6fd6b955e281dba70d536139619
10d9fdbe9ae31a290575263db76a56a601301f2c2089ac9d2581c9289a24998a
a13abb024863dc770f7e3e5710435899d221400a1b405a8dd9fd12f62c4971de
1dd08afbf8a9e5f101f7ea4550602c40d1050517abfff11aaeb9a90e1b2caea1
e284a7329066e171c88c98be9118b2dce4e121b98aa418ae6232eaf5fd3ad521
Nguồn: PC World VN