LeakerLocker: Ransomware trên Google Play

1034

Đầu tháng 7 vừa qua, các nhà nghiên cứu bảo mật tại McAfee đã phát hiện ra có ít nhất hai ứng dụng trên chợ ứng dụng của Google (Google Play Store) là Booster & Cleaner ProWallpapers Blur HD có chứa ransomware LeakerLocker, cả hai ứng dụng khi  bị phát hiện chứa mã độc đều đã có hàng nghìn lượt tải.

Ẩn danh dưới những ứng dụng hợp pháp, LeakerLocker thực hiện “backup” trái phép các dữ liệu cá nhân nhạy cảm trên thiết bị của nạn nhân và thông báo sẽ phát tán các thông tin đó đến toàn bộ đối tượng trong danh bạ của nạn nhân (mà LeakerLocker thu thập được) nếu nạn nhân không chịu chi trả 0.05 BTC cho hacker, giờ đây ransomware không chỉ còn là mã hóa dữ liệu cá nhân đòi tiền chuộc.

Từ lâu, thông tin cá nhân của người dùng luôn là “miếng mồi ngon” cho các hacker nhắm tới, tuy nhiên các biện pháp an ninh và đảm bảo an toàn cho người dùng chưa bao giờ là đủ nếu người dùng không tự ý thức được tầm quan trọng của an ninh bảo mật, bài viết này mong muốn đem đến cho mọi người một cái nhìn rõ ràng hơn về mã độc trên Android. Vậy LeakerLocker hoạt động như thế nào ? Người dùng phải làm thế nào để tránh gặp phải những ứng dụng độc hại tương tự ?

Người dùng bình thường, nếu không có kỹ năng về bảo mật thì điều cần làm là luôn cảnh giác trước việc cài đặt bất kỳ ứng dụng nào cho dù là được phân phối từ “chợ ứng dụng”, để ý các tính năng của ứng dụng so với quyền hạn trên thiết bị mà ứng dụng yêu cầu. Một ứng dụng về giao diện, hình nền thì không thể nào lại yêu cầu các quyền liên quan đến việc đọc tin nhắn, xem lịch sử cuộc gọi,… cả, đó có thể là một ứng dụng độc hại nhằm lấy cắp các thông tin nhạy cảm của bạn

LeakerLocker

Ở lần khởi động đầu tiên, malware khởi chạy các chức năng cơ bản của ứng dụng giả mạo và yêu cầu người dùng chấp nhận quyền hạn mà ứng dụng đưa ra (đối với Android 5 +). Sau khi khởi động thành công, malware thực hiện khóa màn hình thiết bị sau đó truy cập vào các thông tin cá nhân của nạn nhân do đã được chính nạn nhân cấp phép từ trước. Malware có thể tải mã nguồn “.dex” từ phía server điều khiển của hacker khiến cho các chức năng thu thập thông tin và các chức năng quan trọng  tránh bị phát hiện, đồng thời điều này cũng giúp cho hacker có thể chủ động theo ý muốn như mở rông chức năng, hủy kích hoạt,… mà không phải tung ra một malware mới.

Mặc dù ở thông báo đe dọa hacker đề cập đến khá nhiều thông tin bị “backup” (có cả Facebook chat, Email text,…) tuy nhiên không phải tất cả chúng đều bị truy cập, đọc hoặc bị rò rỉ, nói cách khác hacker đã “phóng đại” lượng dữ liệu bị rò rỉ của nạn nhân để gây hoang mang, thực tế malware chỉ có thể lấy được các thông tin như địa chỉ Email, danh bạ, lịch sử trình duyệt, nội dung tin nhắn, lịch sử cuộc gọi và một vài thông tin về thiết bị. Dưới đây là hàm Javascript Interface mà malware sử dụng cho việc lấy thông tin.

Một số thông tin ngẫu nhiên thu thập được sẽ hiển thị thông qua Javascript (jpu.js) và thuyết phục nạn nhân rằng dữ liệu của họ đã bị sao chép, WebView phụ trách việc đó xuất hiện ngay sau khi thiết bị bị khóa.

Đến giai đoạn này thông tin của nạn nhân vẫn chưa có dấu hiệu bị truyền đi bởi mã nguồn cài đặt ứng dụng tuy nhiên quá trình đó có thể được thực hiện nếu Server điều khiển có cung cấp một file Dex khác.

Quá trình thanh toán (chuộc) dữ liệu, malware cung cấp hai phương thức thanh toán: Credit Card hoặc Bitcoin. Cùng lời hứa dữ liệu sẽ bị xóa khỏi hệ thống nếu thanh toán thành công. Địa chỉ giao dịch được gửi đến từ server, hacker có thể thiết đặt tùy ý các địa chỉ giao dịch khác nhau.

Nếu gặp phải trường hợp dính vào mã độc, việc nên làm là không trả tiền chuộc. Hành động trả tiền chuộc là góp phần vào hoạt động kinh doanh phần mềm độc hại của hacker và điều đó có thể dẫn đến gia tăng thêm nhiều cuộc tấn công gây hại. Và kể cả khi bạn chấp nhận mất tiền thì điều đó cũng không có gì đảm bảo dữ liệu của bạn sẽ an toàn sau khi trả tiền chuộc.