Malware Clipper là gì? Nó ảnh hưởng đến người dùng Android như thế nào?

Vào ngày 8 tháng 1 năm 2019, người dùng đã thấy phiên bản đầu tiên của phần mềm độc hại Clipper trên Google Play Store. Nó đã ngụy trang thành ứng dụng vô hại để lừa mọi người tải xuống, sau đó bắt đầu chuyển hướng tiền điện tử sang cho chủ sở hữu của phần mềm độc hại.

Nhưng phần mềm độc hại Clipper là gì, nó hoạt động như thế nào và làm thế nào có thể tránh được cuộc tấn công từ malware này?

Phần mềm độc hại Clipper là gì?

Clipper nhắm mục tiêu vào địa chỉ ví tiền điện tử trong một giao dịch. Địa chỉ ví tiền này giống như phiên bản tiền điện tử của số tài khoản ngân hàng. Nếu muốn ai đó thanh toán cho bạn bằng tiền điện tử, bạn phải cung cấp cho họ địa chỉ ví và người thanh toán nhập nó vào chi tiết thanh toán của họ.

Clipper chiếm quyền điều khiển giao dịch tiền điện tử bằng cách hoán đổi địa chỉ ví thật với địa chỉ thuộc ví của kẻ tạo ra Clipper. Khi người dùng thực hiện thanh toán từ tài khoản tiền điện tử, họ sẽ trả tiền cho tác giả của Clipper thay vì người nhận dự định ban đầu.

Điều này có thể gây ra một số thiệt hại tài chính nghiêm trọng nếu malware quản lý và chiếm đoạt một giao dịch có giá trị cao.

Cách thức hoạt động của Clipper

Clipper thực hiện việc hoán đổi này bằng cách theo dõi clipboard (nơi lưu trữ dữ liệu đã sao chép) của thiết bị nhiễm Clipper. Mỗi khi người dùng sao chép dữ liệu, Clipper sẽ kiểm tra xem clipboard có chứa bất kỳ địa chỉ ví tiền điện tử nào không. Nếu có, Clipper sẽ hoán đổi nó với địa chỉ của kẻ tạo ra phần mềm độc hại.

Bây giờ, khi người dùng dán địa chỉ, họ sẽ dán địa chỉ của kẻ tấn công thay vì địa chỉ hợp pháp.

Clipper khai thác tính chất phức tạp của địa chỉ ví. Đây là những chuỗi dài các con số và chữ cái dường như được chọn ngẫu nhiên. Rất ít khả năng người thanh toán nhận ra địa chỉ đã bị tráo đổi, trừ khi họ đã sử dụng địa chỉ ví này nhiều lần.

Thậm chí tệ hơn, sự phức tạp của nó làm cho người dùng có xu hướng sao chép và dán địa chỉ nhiều hơn là tự nhập bằng bàn phím. Đây chính xác những gì Clipper mong muốn!

Clipper đã tồn tại bao lâu rồi?

Bản thân Clipper không có gì mới. Nó xuất hiện vào khoảng năm 2017 và chủ yếu tập trung vào các máy tính chạy Windows. Kể từ đó, Clipper nhắm vào Android đã được phát triển và bán trên thị trường chợ đen. Các ứng dụng bị nhiễm có thể được tìm thấy trên các trang web mờ ám.

Các trang web như vậy là nền tảng cho phần mềm độc hại Gooligan 2016, đã lây nhiễm trên 1 triệu thiết bị.

Đây là phiên bản đầu tiên của ứng dụng trên Google Play Store, chính thức bị nhiễm Clipper. Tải thành công ứng dụng bị nhiễm malware lên cửa hàng ứng dụng chính thức là kịch bản đáng mơ ước của những kẻ phân phối phần mềm độc hại. App tải từ Google Play Store mang đến một cảm giác an toàn nhất định, khiến nó trở nên đáng tin cậy hơn các ứng dụng được tìm thấy trên một trang web ngẫu nhiên.

Điều này có nghĩa là mọi người thường tải xuống và cài đặt ứng dụng từ đây mà không nghi ngờ gì, đó chính xác là những gì những kẻ tạo ra phần mềm độc hại mong muốn.

Những ứng dụng nào chứa Clipper?

Clipper nằm trong một ứng dụng có tên là MetaMask. Nó là một dịch vụ thực sự cho phép các ứng dụng phân phối dựa trên trình duyệt cho tiền điện tử Ethereum. MetaMask hiện chưa có ứng dụng Android chính thức, vì vậy những kẻ tạo ra phần mềm độc hại đã tận dụng điều này để khiến mọi người nghĩ rằng phiên bản chính thức đã đc phát hành.

Ứng dụng MetaMask giả mạo này đã làm nhiều thứ hơn là tráo đổi địa chỉ tiền điện tử trong clipboard. Nó cũng yêu cầu chi tiết tài khoản Ethereum của người dùng như một phần của việc thiết lập tài khoản giả. Khi người dùng đã nhập thông tin chi tiết, kẻ tạo ra phần mềm độc hại sẽ có tất cả thông tin chúng cần để đăng nhập vào tài khoản.

May mắn thay, một công ty bảo mật đã phát hiện ra Clipper trước khi nó gây ra quá nhiều thiệt hại. Ứng dụng MetaMask giả mạo đã được upload lên vào ngày 1 tháng 2 năm 2019, nhưng đã được báo cáo và loại bỏ chỉ hơn một tuần sau đó.

Sự gia tăng trong các cuộc tấn công tiền điện tử

Mặc dù kiểu tấn công này khá mới, nhưng nó không quá bất ngờ. Tiền điện tử là ngành kinh doanh rất lớn hiện nay, và đi kèm với nó là tiềm năng kiếm được những khoản tiền rất lớn. Trong khi hầu hết mọi người hài lòng với việc kiếm tiền thông qua các phương tiện hợp pháp, sẽ luôn có những kẻ chọn cách khai thác tiền bất chính từ người khác.

Tiền điện tử là mục tiêu yêu thích của những kẻ tạo ra phần mềm độc hại trên toàn cầu. Chúng chiếm quyền điều khiển bộ xử lý trên thiết bị, biến nó thành tiền điện tử cho chúng mà không bị người dùng chính phát hiện.

Giống như ví dụ về phần mềm độc hại Clipper này, các công ty bảo mật đã tìm thấy những kẻ muốn khai thác tiền điện tử bất chính lây nhiễm phần mềm độc hại vào các ứng dụng trên Google Play Store. Như vậy, đây có thể chỉ là khởi đầu của phần mềm độc hại dựa trên tiền điện tử tấn công người dùng trên điện thoại Android.

Làm thế nào để tránh một cuộc tấn công từ Clipper?

Điều này nghe có vẻ rất đáng sợ, nhưng tránh một cuộc tấn công từ Clipper là khá đơn giản. Clipper phụ thuộc vào việc người dùng không biết gì về sự tồn tại của nó và bỏ qua các dấu hiệu cảnh báo. Tìm hiểu về cách thức hoạt động của Clipper là việc làm quan trọng để đánh bại nó. Bằng cách đọc bài viết này, bạn đã hoàn thành 90% công việc!

Đầu tiên, luôn đảm bảo bạn tải xuống ứng dụng từ Google Play Store. Mặc dù Google Play không hoàn hảo, nhưng nó lại an toàn hơn nhiều so với các trang web mờ ám trên Internet khác. Cố gắng tránh các trang web hoạt động như một store (cửa hàng) ứng dụng của bên thứ ba cho Android, vì những trang này có khả năng chứa phần mềm độc hại cao hơn nhiều so với Google Play.

Khi tải xuống ứng dụng trên Google Play, hãy kiểm tra kỹ tổng số lượt tải xuống của ứng dụng trước khi cài đặt. Nếu một ứng dụng đã tồn tại lâu và có số lượng tải xuống thấp, việc tải xuống có thể gặp rủi ro. Tương tự như vậy, nếu ứng dụng tuyên bố đó là phiên bản di động của một dịch vụ phổ biến, hãy kiểm tra kỹ tên nhà phát triển.

Nếu tên khác (thậm chí chỉ hơi khác) so với tên nhà phát triển chính thức, thì đó là một dấu hiệu cảnh báo quan trọng rằng có gì đó không đúng.

Ngay cả khi điện thoại đã bị nhiễm Clipper, người dùng cũng có thể tránh một cuộc tấn công bằng cách thận trọng hơn. Kiểm tra kỹ mọi địa chỉ ví sẽ dán để đảm bảo nó không bị thay đổi giữa chừng. Nếu địa chỉ bạn dán khác với địa chỉ đã sao chép, điều đó có nghĩa là Clipper đang ẩn nấp trên hệ thống.

Hãy thực hiện quét virus cho Android đầy đủ và xóa bất kỳ ứng dụng mờ ám nào đã cài đặt gần đây.

Clipper có thể gây hại cho bất cứ ai xử lý số lượng lớn tiền điện tử. Bản chất phức tạp của các địa chỉ ví, kết hợp với xu hướng sao chép và dán điển hình của người dùng, tạo cho Clipper cơ hội tấn công.

Nhiều người thậm chí có thể không nhận ra họ đã làm gì cho đến khi quá muộn!

May mắn thay, đánh bại phần mềm độc hại Clipper rất đơn giản: Không bao giờ tải xuống các ứng dụng đáng ngờ và kiểm tra kỹ tất cả các liên kết ví trước khi xác nhận giao dịch.