Đây là phương pháp tấn công lạ lẫm, vì thông thường kẻ gian sẽ tấn công điện thoại thông qua mạng xã hội và các ứng dụng giả mạo được lưu trữ trên cửa hàng ứng dụng của bên thứ ba để phân phối phần mềm độc hại vào các thiết bị Android.
Phần mềm độc hại mới có tên Trojan.Droidpak sẽ nhúng vào một tập tin DLL trên máy tính Windows và đăng ký như là một dịch vụ hệ thống mới để đảm bảo khả năng ổn định khi hệ thống khởi động lại. Sau đó nó tải về một tập tin cấu hình từ một máy chủ từ xa có chứa một tập tin apk độc hại (gói ứng dụng Android) gọi là AV-cdk.apk.
Chương trình trojan này sẽ tải các apk độc hại cũng như công cụ dòng lệnh Android Debug Bridge (ADB) cho phép người dùng thực hiện các câu lệnh trên thiết bị Android kết nối với một máy tính. ADB là một phần của bộ phát triển phần mềm Android chính thức (SDK).
Phần mềm độc hại sẽ thực thi lệnh adb.exe install AV-cdk.apk liên tục để đảm bảo rằng nếu một thiết bị Android được kết nối với máy chủ bất cứ lúc nào, APK độc hại sẽ âm thầm cài đặt trên đó. Tuy nhiên, phương pháp này có một giới hạn là nó chỉ làm việc nếu tùy chọn có tên gọi USB debugging được kích hoạt trên thiết bị Android.
USB debugging là một thiết lập thường được sử dụng bởi các nhà phát triển Android, nhưng nó cũng cần thiết cho một số hoạt động không liên quan trực tiếp đến phát triển, giống như root hệ điều hành, lấy ảnh chụp màn hình trên các thiết bị chạy phiên bản Android cũ hoặc cài đặt phần mềm tùy chỉnh Android. Ngay cả khi tính năng này ít được sử dụng, người dùng bật tính năng này một lần để thực hiện một nhiệm vụ cụ thể có thể quên vô hiệu hóa nó khi không cần nó nữa.
Theo Symantec thì APK độc hại này được phát tán bởi phần mềm độc hại trên Windows như Android.Fakebank.B và giả dạng như là một ứng dụng Google Play chính thức. Sau khi cài đặt trên một thiết bị, nó sử dụng tên Google App Store và biểu tượng tương tự như ứng dụng Google Play hợp pháp. Được biết, phần mềm độc hại này được thiết kế để nhắm mục tiêu đến người dùng dịch vụ ngân hàng trực tuyến tại Hàn Quốc.
Liu cho biết rằng các apk độc hại sẽ tìm kiếm một số ứng dụng ngân hàng trực tuyến của Hàn Quốc trên các thiết bị xâm nhập, và nếu tìm thấy chúng sẽ nhắc nhở người dùng xóa các ứng dụng chính thức và cài đặt phiên bản độc hại. Bên cạnh đó, chúng cũng chặn các tin nhắn SMS nhận được bởi người sử dụng và gửi nó đến một máy chủ từ xa, điều này có thể chứa các ủy quyền giao dịch gửi của ngân hàng để thực hiện các hành vi gian lận.
Nhưng Liu cảnh báo rằng, ngay cả khi mối đe dọa này hướng đến người dùng tại một quốc gia nào đó thì các lập trình phần mềm độc hại có thể mượn ý tưởng này để nhân rộng phương pháp tấn công đến các quốc gia khác.
Liu khuyên người dùng tắt tính năng USB debugging trên các thiết bị Android của mình khi không cần thiết và phải cảnh giác khi kết nối thiết bị di động để một máy tính không an toàn.
và quét mã QR
Bình luận (0)