Phát hiện mã độc ransomware mới đang tấn công người dùng Android

Microsoft gần đây đã cảnh báo về một loại ransomware mới lợi dụng các thông báo cuộc gọi đến và nút Home của điện thoại Android để khóa thiết bị sau một ghi chú đòi tiền chuộc.



Mã độc tống tiền này được đặt tên “MalLocker.B” và là biến thể của một chủng ransomware Android nổi tiếng. Nó hiện đã tái xuất với nhiều cải tiến mới, bao gồm một kỹ thuật giúp cấy mã độc tống tiền trên các thiết bị cũng như một cơ chế obfuscation (xáo trộn code) để qua mắt các giải pháp bảo mật.



Mã độc này bị phát hiện ngay giữa bối cảnh các cuộc tấn công ransomware nhắm vào các cơ sở hạ tầng quan trọng đang gia tăng mạnh mẽ, với mức tăng trung bình hàng ngày là 50% trong ba tháng qua so với nửa đầu năm nay. Ngoài ra, các tội phạm mạng ngày càng ưa chuộng kỹ thuật double extortion (tống tiền kép) nhằm gây thêm áp lực cho các doanh nghiệp.



MalLocker nổi tiếng với việc trú ẩn trên các trang web độc hại và thực hiện lây nhiễm trên diễn đàn trực tuyến bằng cách sử dụng nhiều chiêu trò tấn công phi kỹ thuật khác nhau như ngụy trang dưới dạng các ứng dụng phổ biến, trò chơi bị bẻ khóa, hay trình phát video.



Các biến thể trước của ransomware này đã khai thác các tính năng trợ năng của Android hoặc quyền “SYSTEM_ALERT_WINDOW” để hiển thị một cửa sổ trên tất cả các màn hình khác và hiển thị thông báo đòi tiền chuộc. Nó thường là thông báo giả mạo của cảnh sát hoặc cảnh báo về việc phát hiện các hình ảnh khiêu dâm trên thiết bị.



Nhưng ngay khi các phần mềm diệt mã độc bắt đầu phát hiện hành vi đáng ngờ thì các biến thể rasomware trên sẽ ngay lập tức thay đổi chiến thuật để vượt qua rào cản này. Điều khác biệt ở biến thể MalLocker.B là nó đã áp dụng một kỹ thuật hoàn toàn mới nhưng vẫn đạt được mục tiêu tấn công của mình.



MalLocker.B đã lợi dụng thông báo “call” được sử dụng để báo cho người dùng biết về các cuộc gọi đến và hiển thị một cửa sổ bao phủ toàn bộ màn hình, sau đó nó kết hợp với phím Home hoặc Recents để kích hoạt ghi chú đòi tiền chuộc lên nền trước và ngăn nạn nhân chuyển sang bất kỳ màn hình nào khác.



“Điều này tạo ra một chuỗi các sự kiện dẫn tới tự động kích hoạt màn hình ransomware mà không cần phải infinite redraw (hiển thị lại) hay ngụy trang dưới dạng cửa sổ hệ thống,” Microsoft cho biết.



Bên cạnh việc từng bước kết hợp các kỹ thuật để hiển thị màn hình ransomware, mã độc còn phát triển một mô hình học máy (machine learning) chưa được tích hợp. Mô hình này có thể được sử dụng để điều chỉnh hình ảnh ghi chú tiền chuộc trên màn hình mà không bị biến dạng, cho thấy mã độc này đã phát triển lên một giai đoạn mới.



Hơn nữa để che giấu mục đích thực sự của mình, phần code của ransomware này đã bị xáo trộn nặng nề và không thể đọc được. Kẻ tấn công đã xáo trộn tên và cố ý sử dụng các tên biến vô nghĩa cùng mã rác để cản trở phân tích.



“Biến thể mobile ransomware mới này là một phát hiện quan trọng vì nó sử dụng các phương pháp tấn công chưa từng được biết đến trước đây, và nhiều khả năng nó sẽ mở ra “cánh cửa mới” cho các mã độc khác theo sau,” nhóm nghiên cứu Microsoft 365 Defender cho biết.



“Mã độc này đã nhấn mạnh sự cần thiết của việc phòng thủ toàn diện, kết hợp giữa giám sát tổng thể để phát hiện kịp thời các bề mặt tấn công , cũng như hợp tác với các chuyên gia ( domain expert ) để giúp theo dõi bối cảnh mối đe dọa và phát hiện các mối đe dọa nguy hiểm đang ẩn náu giữa các kho dữ liệu lớn.”



Theo The Hacker News
The post Phát hiện mã độc ransomware mới đang tấn công người dùng Android appeared first on SecurityDaily .