Bây giờ, mới nhất là ‘Phần mềm độc hại Kemoge‘ đã xuất hiện lần đầu dưới dạng Phần mềm quảng cáo trên điện thoại di động Android, cho phép các cửa hàng ứng dụng của bên thứ ba lấy thông tin thiết bị của bạn và kiểm soát hoàn toàn thiết bị đó.
Các nhà nghiên cứu bảo mật từ FireEye Labs đã phát hiện ra rằng dòng phần mềm quảng cáo độc hại Kemoge đang lan rộng ở 20 quốc gia trên toàn cầu. Ngoài ra, nguồn gốc của cuộc tấn công của Phần mềm quảng cáo bị nghi ngờ từ Trung Quốc.
Danh mục bài viết
Kemoge là gì?
Tên được đặt cho họ Phần mềm quảng cáo độc hại là do miền chỉ huy và kiểm soát (C2) của nó: aps.kemoge.net.
Kemoge là một Phần mềm quảng cáo đội lốt các Ứng dụng phổ biến; nó đã lưu hành với số lượng như vậy bởi vì nó lấy tên của các ứng dụng phổ biến và đóng gói lại chúng bằng mã độc và cung cấp chúng cho người dùng.
Họ thậm chí còn sử dụng cùng một tên nhà phát triển, như được sử dụng bởi các ứng dụng sạch và đã được xác minh trên Cửa hàng Play chính thức.
Một số ứng dụng phổ biến bị ảnh hưởng là:(Hình ảnh)
- Nói Tom 3
- Máy tính
- Chia sẻ nó
- Cảm ứng hỗ trợ
- Trình tăng cường Wi-Fi
Kemoge hoạt động như thế nào?
- Kẻ tấn công thiết lập một giao diện trông chân thực và tải ứng dụng lên các cửa hàng ứng dụng của bên thứ ba và chơi thông minh bằng cách quảng cáo các liên kết tải xuống qua các trang web và quảng cáo trong ứng dụng.
- Một số mạng quảng cáo tích cực giành được quyền root cũng có thể tự động cài đặt các mẫu.
- Sau khi được kích hoạt trên thiết bị, Kemoge sẽ thu thập thông tin thiết bị và tải nó lên máy chủ quảng cáo, sau đó nó sẽ phân phát quảng cáo từ nền một cách tinh vi.
- Nạn nhân thường xuyên nhận được các biểu ngữ quảng cáo bất kể hoạt động hiện tại là gì vì quảng cáo thậm chí còn bật lên khi người dùng vẫn ở trên màn hình chính của Android.
“Ban đầu Kemoge chỉ gây khó chịu, nhưng nó sẽ sớm trở nên xấu xa,” các nhà nghiên cứu của FireEye cho biết.
Kemoge thậm chí còn ảnh hưởng đến các thiết bị đã root
Phần mềm quảng cáo độc hại đưa tám khai thác root vào root điện thoại, nhắm mục tiêu vào nhiều kiểu thiết bị.
Một số khai thác được tổng hợp từ các dự án nguồn mở trong khi một số đến từ công cụ thương mại “củ Dashi” (hoặc “gốc chủ“).
“Sau khi lấy được quyền root, nó sẽ thực thi root.sh để có được sự ổn định,” Các nhà nghiên cứu của FireEye cho biết. “Sau đó, nó cấy AndroidRTService.apk vào phân vùng /system dưới dạng Launcher0928.apk — tên tệp bắt chước dịch vụ hệ thống trình khởi chạy hợp pháp. Ngoài ra, tên gói của gói ứng dụng này cũng giống như các dịch vụ xác thực, ví dụ: com.facebook.qdservice.rp .provider và com.android.provider.setting.”
Ngoài ra, dịch vụ hệ thống độc hại ( Launcher0928.apk) liên hệ với aps.kemoge.net để nhận các lệnh.
Kemoge trốn tránh sự phát hiện như thế nào?
Để tránh bị phát hiện, Kemoge giao tiếp với máy chủ trong các khoảng thời gian khác nhau. Phần mềm độc hại chạy mã độc trong thời gian ngắn ở lần khởi chạy đầu tiên hoặc 24 giờ sau khi cài đặt.
Trong mỗi yêu cầu, Kemoge gửi dữ liệu bao gồm IMEI, IMSI của điện thoại, thông tin lưu trữ và thông tin ứng dụng đã cài đặt tới máy chủ của bên thứ ba từ xa.
Sau khi tải thông tin của thiết bị lên, phần mềm độc hại sẽ yêu cầu các lệnh từ máy chủ, máy chủ này sẽ hoàn nguyên bằng một lệnh trong số ba miền sau và dịch vụ hệ thống độc hại sẽ thực thi lệnh đó. Các lệnh là:
- Gỡ cài đặt các ứng dụng được chỉ định
- Khởi chạy các ứng dụng được chỉ định
- Tải xuống và cài đặt ứng dụng từ các URL do máy chủ cung cấp
Các nhà nghiên cứu của FireEye đã tiến hành nghiên cứu của họ về Nexus 7 chạy Android 4.3 (Thạch Đậu). Trong khi thử nghiệm, máy chủ đã ra lệnh cho thiết bị, sao cho nó gỡ cài đặt các ứng dụng hợp pháp và làm cho thiết bị chứa đầy mã độc.
Làm thế nào để bảo vệ chống lại Kemoge?
Kemoge là một mối đe dọa nguy hiểm và để giữ an toàn, bạn nên:
- Không bao giờ nhấp vào bất kỳ liên kết đáng ngờ nào từ email, SMS, trang web hoặc quảng cáo.
- Không bao giờ cài đặt ứng dụng bên ngoài App Store chính thức.
- Luôn cập nhật thiết bị Android của bạn để tránh bị bắt nguồn từ các lỗ hổng công khai đã biết (Nâng cấp thiết bị lên phiên bản HĐH mới nhất cung cấp một số bảo mật nhưng không phải lúc nào cũng đảm bảo bảo vệ).
- Gỡ cài đặt ứng dụng hiển thị Quảng cáo.
Để biết thêm về Kemoge, hãy theo dõi blog chính thức của FireEye. Ngoài ra, nếu bạn gặp phải bất kỳ sự cố nào như vậy với thiết bị Android của mình, thì hãy xác định ứng dụng cung cấp Phần mềm quảng cáo độc hại cho bạn và cho chúng tôi biết trong nhận xét bên dưới.
