Mã độc Viking Horde tấn công như thế nào

Mã độc Viking Horde tấn công như thế nào

Check Point vừa phát hiện trên Google Play một loại mã độc mới nhằm vào các thiết bị chạy hệ điều hành Android có tên gọi là Viking Horde. Viking Horde tiến hành gian lận quảng cáo, nhưng cũng có thể được sử dụng cho các mục đích tấn công khác như DDoS (từ chối dịch vụ), tin nhắn rác,... Đến nay đã có ít nhất là 5 ứng dụng nhiễm Viking Horde qua mặt cơ chế kiểm tra mã độc của Google Play.

Check Point đã thông báo cho Google về malware này ngày 05 tháng 5 năm 2016.

Mã độc Viking Horde tấn công như thế nào
Check Point vừa phát hiện trên Google Play một loại malware mới nhằm vào các thiết bị chạy hệ điều hành Android có tên gọi là Viking Horde
Trên các thiết bị chạy Andoid, Viking Horde tạo ra một botnet sử dụng các địa chỉ IP ẩn sau proxy để nguỵ trang các cú nhấp chuột quảng cáo, sinh thu nhập cho kẻ tấn công. Botnet (mạng máy tính “ma”) là một nhóm các thiết bị bị tin tặc kiểm soát mà chủ nhân không biết. Botnet càng lớn thì tác hại càng lớn.

Trên các thiết bị Android độ lại (gọi là “root”), Viking Horde có chức năng bổ sung có thể thực hiện mã lệnh bất kỳ từ xa, gây ảnh hưởng đến sự an toàn của dữ liệu trên thiết bị. Nó còn lợi dụng các đặc quyền root (quyền cao nhất trên thiết bị) để làm cho nó khó bị gỡ bỏ hoặc thậm chí không thể gỡ bỏ.

Màn ra mắt

Mã độc Viking Horde tấn công như thế nào
Vicking Jum
Ứng dụng nhiễm Viking Horde được tải về phổ biến nhất là Viking Jump, được đưa lên Google Play vào ngày 15/04 và đã có khoảng 50.000-100.000 lượt tải. Đây là ứng dụng Google Play miễn phí đứng đầu ở một số thị trường.

Ứng dụng đầu tiên là Wi-Fi Plus, được đưa lên Google Play vào ngày 29/03. Một số ứng dụng khác như Memory Booster, Parrot Copter và Simple 2048. Tất cả ứng dụng nhiễm Viking Horde đều bị đánh giá khá thấp, theo phỏng đoán của nhóm nghiên cứu có thể là do người dùng đã nhận thấy những hành vi kỳ lạ, chẳng hạn như yêu cầu quyền root.

Mã độc Viking Horde tấn công như thế nào
Botnet do Viking Horde tạo ra đã lan rộng trên toàn thế giới. Nhóm nghiên cứu Check Point đã thu thập dữ liệu phân bố nạn nhân từ một trong nhiều máy chủ chỉ huy và điều khiển (C&C) được tin tặc sử dụng, thể hiện trong hình minh họa dưới đây:
Mã độc Viking Horde tấn công như thế nào

Cách thức Viking Horde làm việc

Từ nghiên cứu mã lệnh Viking Horde và các máy chủ C&C được sử dụng trong các cuộc tấn công, nhóm nghiên cứu đã phác hoạ được tiến trình của malware này.

Mã độc Viking Horde tấn công như thế nào

1. Đầu tiên nó được cài đặt từ Google Play. Trong khi ứng dụng khởi tạo trò chơi, nó sẽ cài đặt một số thành phần bên ngoài thư mục của ứng dụng. Các thành phần này được đặt tên một cách ngẫu nhiên với các tên hệ thống giả từ một danh sách định sẵn, chẳng hạn như core.bin, clib.so, android.bin và update.bin. Chúng được cài ở thư mục root/data nếu là thiết bị được độ lại, còn không thì cài trên thẻ SD. Một trong những tập tin được sử dụng để trao đổi thông tin giữa các thành phần của malware. Tập tin thứ hai chứa danh sách các tên thành phần được tạo ra.

2. Malware sau đó kiểm tra xem thiết bị có độ lại hay không:
• Nếu thiết bị là độ lại, malware kích hoạt hai thành phần bổ sung:
- app_exec: Thực hiện giao thức liên lạc với máy chủ.
- app_exec_watch_dog Binary: Thực hiện cơ chế cập nhật và duy trì. Watchdog giám sát quá trình app_exec và khởi động lại nó nếu cần thiết.
• Nếu thiết bị không phải độ lại, malware nạp tập tin app_exec tập tin làm thư viện dùng chung và gọi các hàm của nó bằng JNI (Java Native Interface).

Trong cả hai trường hợp, một khi ứng dụng app_exec được cài đặt, nó thiết lập một kết nối TCP với máy chủ C&C và bắt đầu thông tin liên lạc với các lệnh sau:
• Ping. Cứ mỗi 10 giây ứng dụng gửi 5 byte đến máy chủ. Máy chủ trả lời cũng 5 byte.
• Cập nhật các thông tin thiết bị: Gửi đến máy chủ thông tin về pin, kiểu kết nối và số điện thoại.

3. Bước tiếp theo thực hiện chức năng gian lận chính bằng cách tạo ra một kết nối proxy nặc danh. C&C sẽ gửi một lệnh "create_proxy" với các tham số là 2 địa chỉ IP và cổng dùng để mở hai socket, một cho một máy chủ ở xa và một cho mục tiêu từ xa. Sau đó nó đọc dữ liệu nhận được từ socket đầu tiên và chuyển đến mục tiêu. Sử dụng kỹ thuật này, nhà phát triển malware này (hoặc ai đó sử dụng malware này như dịch vụ) có thể ẩn IP của mình đằng sau IP của thiết bị bị nhiễm.

Hoạt động botnet

Điều quan trọng là phải hiểu rằng ngay cả với thiết bị không độ lại, Viking Horde cũng có thể biến thành một proxy có khả năng gửi và nhận thông tin theo lệnh của kẻ tấn công. Dưới đây là ví dụ một thiết bị bị lây nhiễm nhìn thấy từ máy chủ C&C của kẻ tấn công.

Ở đây, remoteIP là IP của proxy, và socksIP là IP của máy chủ C&C. C&C chứa một số thông tin về thiết bị bao gồm phiên bản hệ điều hành, tình trạng pin và tọa độ GPS. Trong trường hợp này, thiết bị nằm ở Mỹ dùng mạng T-Mobile.

Mã độc Viking Horde tấn công như thế nào
Botnet này được kiểm soát bởi nhiều máy chủ C&C, mỗi máy chủ quản lý vài trăm thiết bị. Mục tiêu chính của malware là chiếm quyền điều khiển thiết bị và sau đó sử dụng nó để giả lập các cú nhấp chuột vào quảng cáo ở các website để thu lợi nhuận. Malware cần proxy này để qua mặt các cơ chế chống gian lận quảng cáo trên mạng bằng cách sử dụng các địa chĩ IP phân tán.

Một số đánh giá người dùng về ứng dụng trên còn khẳng định nó gửi các tin nhắn SMS có mức phí cao, như trong ảnh chụp màn hình dưới đây. Botnet này có thể được sử dụng cho các mục đích phá hoại khác nhau, chẳng hạn như tấn công DDoS, gửi thư rác và phát tán malware.

Mã độc Viking Horde tấn công như thế nào
Malware dai dẳng

Malware này sử dụng một số kỹ thuật để duy trì sự hiện diện trên thiết bị. Đầu tiên, Viking Horde cài đặt một số thành phần với tên liên quan đến hệ thống, do đó chúng khó xác định và gỡ bỏ.

Nếu thiết bị được độ lại, còn có thêm hai cơ chế:

Thành phần app_exec giám sát sự tồn tại của ứng dụng chính. Nếu người dùng gỡ bỏ ứng dụng chính, app_exec sẽ giải mã một thành phần có tên là com.android.security và âm thầm cài đặt nó. Thành phần này sẽ được ẩn đi và chạy sau khi khởi động. Thành phần này là bản sao của chính nó và có cùng các tính năng.

Thành phần watchdog cài đặt các bản cập nhật thành phần app_exec. Nếu app_exec bị gỡ bỏ, watchdog sẽ cài đặt lại nó từ thư mục cập nhật.
Một số người dùng thậm chí còn nhận thấy hoạt động này:

Mã độc Viking Horde tấn công như thế nào
Thành phần bổ sung cho thiết bị độ lại

Có lẽ tính năng nguy hiểm nhất đó là cơ chế cập nhật. Cơ chế này được phân chia giữa các thành phần app_exec và watchdog. app_exec tải về tập tin thực thi mới từ máy chủ và lưu nó vào thư mục /data với tên app_exec_update.

Watchdog định kỳ kiểm tra xem tập tin cập nhật có tồn tại không và thay thế app_exec bằng tập tin này. Điều này có nghĩa khi có lệnh của máy chủ, Viking Horde sẽ tải tập tin thực thi mới mới. Thành phần watchdog sẽ dùng nó thay ứng dụng. Điều này cho phép việc tải về và thực thi mã lệnh bất kỳ từ xa trên thiết bị.

Phụ lục 1: tên các gói ứng dụng
• com.Jump.vikingJump
• com.esoft.wifiplus
• com.fa.simple2048
• com.android.wifiman
• Com.g.o.speed.memboost
• Com.f.a.android.flyingcopters

Phụ lục 2: danh sách các máy chủ C&C
• www[.]adautoexchange[.]com
• www[.]adexchng[.]com
• www[.]adexchnge[.]com
• www[.]adexchangetech[.]com

Phụ lục 3: mã nhị phân SHA256 bị nhiễm

85e6d5b3569e5b22a16245215a2f31df1ea3a1eb4d53b4c286a6ad2a46517b0c
254c1f16c8aa4c4c033e925b629d9a74ccb76ebf76204df7807b84a593f38dc0
ebfef80c85264250b0e413f04d2fbf9e66f0e6fd6b955e281dba70d536139619
10d9fdbe9ae31a290575263db76a56a601301f2c2089ac9d2581c9289a24998a
a13abb024863dc770f7e3e5710435899d221400a1b405a8dd9fd12f62c4971de
1dd08afbf8a9e5f101f7ea4550602c40d1050517abfff11aaeb9a90e1b2caea1
e284a7329066e171c88c98be9118b2dce4e121b98aa418ae6232eaf5fd3ad521
 

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống

Nguồn tin:

 

Tham gia bình luận