Dropper as a Service là gì?

Khi công nghệ phần mềm độc hại phát triển, các dịch vụ mà tác nhân độc hại cung cấp cho những người muốn tham gia vào lĩnh vực hack cũng phát triển theo. Nếu một kẻ xấu muốn lén đưa phần mềm độc hại vào thiết bị của bạn mà bạn không biết, hắn có thể thuê một người cung cấp Dropper as a Service để giúp hắn đạt được mục tiêu đó.

Hãy cùng khám phá Dropper as a Service là gì và cách phòng tránh ra sao.

Dropper là gì?

Dropper là một loại virus Trojan có vẻ vô hại nhưng ẩn chứa một điều bất ngờ khó chịu bên trong. Trojan có chung một đặc điểm là đánh lừa người dùng hoặc hệ thống nghĩ rằng chúng vô hại.

Bản thân các Dropper không chứa mã độc. Điều này có nghĩa là nếu ai đó quét chương trình dropper bằng phần mềm diệt virus, chương trình đó sẽ không hiển thị là chương trình độc hại. Trong giai đoạn này, một chương trình dropper sẽ cố gắng tự thiết lập trên PC của người dùng, yêu cầu quyền truy cập vào các service và file cụ thể.

Vì người dùng tin rằng phần mềm dropper là vô hại nên họ sẽ cấp cho phần mềm độc hại này quyền truy cập vào những gì chúng muốn. Khi điều này xảy ra, phần mềm độc hại dropper sẽ chuyển sang giai đoạn hai và liên hệ với máy chủ tải xuống phần mềm độc hại. Sau đó, nó cài đặt phần mềm độc hại trên hệ thống mục tiêu, sử dụng các quyền mới được cấp để tránh bị nghi ngờ hoặc phát hiện.

"Dropper as a Service" là gì?

Dropper as a Service là một phần của nhóm dịch vụ lớn hơn mà các tác nhân độc hại bán trên thị trường chợ đen. Bạn có thể đã từng nghe đến hậu tố "as a service" trong thế giới phần mềm độc hại trước đây; nó được sử dụng dưới dạng ransomware as a service.

Trong trường hợp này, người cung cấp Dropper as a Service làm như vậy vì họ rất giỏi trong việc lập trình dropper và muốn cung cấp kiến thức chuyên môn của mình cho thị trường chợ đen. Cơ sở khách hàng của họ là những nhà phát triển phần mềm độc hại đã thiết kế payload nhưng cần trợ giúp để đưa nó vào thiết bị của người dùng. Những nhà phát triển này liên hệ với các nhà cung cấp Dropper as a Service để đưa virus của mình vượt qua các giải pháp diệt virus.

Dropper as a Service có thể có giá rất rẻ trên thị trường chợ đen. Một báo cáo từ The Register cho thấy Dropper as a Service tính phí 2 USD cho 1.000 lượt phân phối phần mềm độc hại, đây sẽ là một khoản tiền nhỏ đối với người phát triển phần mềm độc hại nhằm mục đích lấy tiền từ nạn nhân theo một cách nào đó.

Tuy nhiên, điều quan trọng cần lưu ý là không phải mọi thứ kết thúc bằng "as a service" đều xấu. Ví dụ, artificial intelligence as a service cho phép các doanh nghiệp và khách hàng thuê các giải pháp AI cho những mục đích không gây hại.

Một ví dụ về Dropper as a Service: SecuriDropper

Để thể hiện rõ hơn cách hoạt động của Dropper as a Service, hãy xem một ví dụ thực tế. SecuriDropper là một loại phần mềm dropper đặc biệt khó chịu nhắm vào điện thoại Android và lây nhiễm phần mềm độc hại cho chúng bằng phương pháp dropper.

Theo báo cáo của Bleeping Computer, SecuriDropper được thiết kế để vượt qua lớp bảo vệ cụ thể trên Android 14. Nếu bạn cố cài đặt một ứng dụng không đến từ Google Play Store chính thức, ứng dụng đó sẽ không được phép truy cập vào các tính năng nhạy cảm hơn trên điện thoại của bạn, chẳng hạn như cài đặt Accessibility.

Để giải quyết vấn đề này, kẻ phát triển phần mềm độc hại có thể thêm SecuriDropper vào một ứng dụng có vẻ ngoài bình thường và upload nó lên trang web của bên thứ ba. Một số ứng dụng có chứa SecuriDropper ngụy trang thành các ứng dụng được sử dụng phổ biến; một số khác được phát hiện giả vờ là Google Translate. Ứng dụng không chứa mã độc nên không bị gắn cờ bởi bất kỳ quá trình quét virus nào.

Sau đó, nạn nhân tải ứng dụng xuống và cố gắng cài đặt nó. Trong quá trình cài đặt, ứng dụng sẽ yêu cầu quyền truy cập vào bộ nhớ của điện thoại. Nếu được chấp nhận, ứng dụng sẽ hiển thị thông báo lỗi giả mạo, cho biết quá trình cài đặt không thành công. Sau đó, nó hiển thị một nút cho người dùng, tuyên bố rằng nếu họ nhấn nút đó, ứng dụng sẽ tự cài đặt lại.

Nếu người dùng nhấn nút, dropper sẽ gửi tín hiệu đến máy chủ tải xuống phần mềm độc hại để cài đặt payload. Vì người dùng đã cấp quyền cho ứng dụng sử dụng bộ nhớ của điện thoại nên dropper có thể cài đặt phần mềm độc hại theo cách cụ thể để Android 14 không xác định đó là ứng dụng từ nguồn của bên thứ ba.

Ngược lại, điều này cho phép ứng dụng yêu cầu các quyền mà ứng dụng bên thứ ba thường không được phép yêu cầu. Và nếu người dùng chấp nhận những điều đó, phần mềm độc hại sẽ có quyền truy cập vào tất cả các quyền mà nó cần để tiếp tục kế hoạch của mình.

SecuriDropper chịu trách nhiệm phát tán tất cả các loại phần mềm độc hại. Ví dụ, một số chủng cài đặt SpyNote có thể lấy dữ liệu trên điện thoại của bạn và một số khác cài đặt Trojan ngân hàng được ngụy trang dưới dạng trình duyệt Chrome giả mạo.

Cách giữ an toàn khỏi phần mềm độc hại Dropper

Phần mềm độc hại dropper nghe có vẻ đáng sợ nhưng bạn sẽ chủ yếu tìm thấy chúng được host trên các trang web của bên thứ ba. Vì vậy, tốt nhất bạn nên tải xuống ứng dụng của mình từ các nguồn chính thức.

Nếu bạn đang sử dụng PC, chỉ cài đặt ứng dụng từ các nguồn chính thức. Thông thường, bạn có thể tìm thấy ứng dụng trên trang web của nhà phát triển nhưng đôi khi nhà phát triển sẽ sử dụng máy chủ bên ngoài để xử lý việc tải xuống. Nếu nghi ngờ, hãy nhớ kiểm tra kỹ xem trang web có an toàn và bảo mật hay không trước khi tải xuống ứng dụng từ trang web đó.

Nếu hệ điều hành của bạn đi kèm với một cửa hàng ứng dụng, việc tải xuống ứng dụng từ đó sẽ an toàn hơn việc lấy chúng từ các trang web của bên thứ ba. Các thị trường như Microsoft Store và Google Play đều có các biện pháp đối phó bảo mật để giúp bảo vệ người dùng trước những mối đe dọa như dropper.

Nói như vậy không có nghĩa là bạn có thể tin tưởng mọi ứng dụng mình thấy trên cửa hàng ứng dụng chính thức. Các nhà phát triển phần mềm độc hại có thể tìm cách đưa các ứng dụng độc hại vào những cửa hàng ứng dụng này, đến mức Google Play không an toàn 100% trước phần mềm độc hại.

May mắn thay, các bước tương tự mà bạn có thể thực hiện để phát hiện ứng dụng Android giả mạo trên Google Play cũng có thể áp dụng cho các cửa hàng ứng dụng khác. Nếu cảm thấy có điều gì đó "không ổn" về một ứng dụng, đừng tải xuống.