Viễn cảnh đáng sợ về sự lây lan của mã độc GhostCtrl trên thiết bị Android

Việc ngày càng nhiều người mua và sử dụng smartphone, đặc biệt là Android khiến những thiết bị này trở thành mục tiêu hấp dẫn của các tin tặc tạo ra phần mềm độc hại. Các dòng malware (phần mềm độc hại) mới thường xuyên được tạo ra nhưng một chủng virus đặc biệt đã gây chấn động thế giới an ninh mạng.

Với cái tên GhostCtrl - đây là lần thứ 3 mã độc này tấn công vào hệ thống Android. Tuy nhiên, không giống như 2 phiên bản trước, biến thể mới của GhostCtrl có những tính năng đáng sợ hơn nhiều.

Cách GhostCtrl lây lan

GhostCtrl xâm nhập vào thiết bị của nạn nhân khi họ cài đặt một file APK bị lây nhiễm, file này thường ẩn danh dưới một ứng dụng phổ biến như WhatsApp hoặc Pokémon Go. Khi người dùng cài đặt nó, APK sẽ hiển thị thông báo cài đặt như bình thường. Tuy nhiên, nếu người dùng từ chối cài đặt, thông báo đó sẽ xuất hiện lại.

File APK

Khi người dùng nhấp chọn cài đặt để kết thúc phiền phức từ thông báo, virus sẽ tự lây nhiễm vào hệ thống bằng cách sử dụng backdoor. Sau đó, nó sẽ mở một kênh liên lạc tới máy chủ của hacker - C&C server. C&C là từ viết tắt của "command and control" và được sử dụng trong các hoạt động bonet để gửi lệnh tới các thiết bị lây nhiễm. Như vậy, khi một chiếc điện thoại bị nhiễm GhostCtrl, nó sẽ nhận lệnh từ các nhà phân phối malware thông qua máy chủ C&C.

GhostCtrl làm những gì?

Điểm đáng sợ nhất của GhostCtrl không phải ở cách nó lây lan. TrendLabs có một danh sách đầy đủ tất cả các mã hoạt động (action code) mà hacker có thể gửi đến GhostCtrl qua máy chủ C&C và mỗi code thực hiện nhiệm vụ gì. Dưới đây là ví dụ về một số hoạt động mà GhostCtrl thực hiện:

  • Theo dõi dữ liệu của bộ cảm biến điện thoại theo thời gian thực.
  • Liệt kê thông tin file trong thư mục hiện hành và tải nó lên máy chủ C&C.
  • Xóa tập tin trong thư mục được chỉ định.
  • Gửi SMS/ MMS tới số được hacker chỉ định (nội dung có thể được tùy chỉnh).
  • Gọi số điện thoại mà hacker chỉ định.

Ngoài ra, TrendLabs còn cho biết GhostCtrl cũng có thể ăn cắp thông tin lưu trữ trên điện thoại. Dữ liệu bị đánh cắp có thể bao gồm thông tin về phiên bản Android, lịch sử trình duyệt và dữ liệu camera. Không chỉ vậy, nó còn có thể theo dõi và tải lên nhật kí SMS và bản ghi các cuộc gọi.

Tùy thuộc vào chỉ định của hacker, GhostCtrl còn có khả năng thực hiện cuộc tấn công theo kiểu ransomware. Nó có thể thay đổi tất cả mật khẩu và mã PIN trên thiết bị lây nhiễm sau đó "tống tiền" người dùng.

Vậy phải làm sao để ngăn chặn?

Có một vài biện pháp phòng ngừa đơn giản có thể giúp bạn không trở thành nạn nhân của đợt tấn công này.

Như đã đề cập ở trên, GhostCtrl hoạt động dưới dạng tập tin APK bị nhiễm mã độc. Do đó, người dùng có thể đặt mình vào nguy cơ tải tệp APK từ một nguồn không rõ. Ví dụ, người dùng có thể bị điều hướng tới các trang web APK của bên thứ ba. Vì thế, bạn nên tránh xa các trang web APK và không tải xuống các ứng dụng đáng ngờ ngay cả khi chúng được tải trong cửa hàng Google Play.

Cài đặt một chương trình diệt virus uy tín cũng sẽ giúp bạn ngăn chặn mã độc lây nhiễm vào hệ thống. Bên cạnh đó, bạn cũng có thể sử dụng firewall di động để cảnh báo bạn và ngăn chặn các phần mềm độc hại đạt được mục đích.

Cài firewall

Hy vọng những thông tin trên sẽ giúp bạn an toàn khỏi loại mã độc này!

Thứ Bảy, 05/08/2017 17:35
4,19 👨 1.145
0 Bình luận
Sắp xếp theo
    ❖ Bảo mật & Diệt Virus