Mã độc Rootkit ẩn mình chờ lệnh tấn công Android

Trong năm 2015, Rootkit là một dạng phần mềm độc hại để ẩn giấu các mã độc gây hại đã được các hacker tìm cách nhúng trực tiếp vào thư mục hệ thống của thiết bị chạy hệ điều hành Android. Nếu không ngăn chặn kịp thời thì nó có thể tấn công bất cứ lúc nào chỉ cần có một lệnh là xong.

Năm 2015, mã độc đang ngày càng nguy hiểm hơn

Các chuyên gia của hãng bảo mật Dr.Web Việt Nam cho biết, trong năm 2015 họ đã phát hiện một làn sóng mới liên quan đến rootkit (một dạng phần mềm độc hại để ẩn giấu các mã độc gây hại cho máy tính): nếu như trước đây hacker cài ứng dụng để liên kết với nhiều ứng dụng khác nhằm kiếm tiền từ chủ các ứng dụng này khi người dùng cài đặt thì hiện nay, hacker đang tìm cách nhúng mã độc trực tiếp vào thư mục hệ thống của Android, làm cho các thiết bnhiễm rootkit và ẩn mình tại đó để chờ lệnh tấn công.

Rootkit là một bộ công cụ phần mềm do hacker cài vào thiết bị nhằm thu thập dữ liệu về máy tính (kể các máy tính khác trong cùng mạng) và những người sử dụng (như mật khẩu, thông tin tài chính…); gây lỗi trong hoạt động của máy tính; tạo hoặc chuyển tiếp spam.

ma-doc-rootkit-an-minh-cho-lenh-tan-cong-android 1
Thậm chí ngay cả khi chương trình độc hại bị người dùng phát hiện và gỡ bỏ khỏi thiết bị, chúng cũng vẫn còn tồn tại và ẩn mình chờ lệnh vận hành từ tội phạm mạng.
Một khi trojans đã xâm nhập được vào khu vực hệ thống sẽ hoàn toàn có được đặc quyền nâng cao, cung cấp cho tội phạm mạng toàn quyền kiểm soát các thiết bị lây nhiễm cũng như thông tin lưu trữ trong đó.

Phát hiện và xử lý mã độc này không hề dễ

Việc phát hiện những chương trình độc hại như vậy rất khó khăn với người dùng, thậm chí ngay cả đối với chuyên gia bảo mật sẽ mất rất nhiều thời gian để so sánh, xếp loại chủng mã độc nhắm vào các thiết bị Mobile như Android.
Ví dụ, trong năm 2015, các nhà nghiên cứu bảo mật tiếp tục phát hiện một số lượng lớn ứng dụng độc hại đoạt quyền root và lén lút cài đặt phần mềm độc hại khác vào các thư mục hệ thống. Trong số đó có các Trojans thuộc nhóm Android.Toorch. Một trong số đó được ngụy trang như là một ứng dụng đèn pin cho smartphone lây nhiễm thông qua các website phổ biến của Trung Quốc cho phép tải các phần mềm tiện ích miễn phí.

Phần mềm độc hại hoạt động như nào?

Các phần mềm độc hại có thể được tải về thiết bị di động với sự giúp đỡ đắc lực từ module quảng cáo nhúng vào các ứng dụng được cài trước đó.
Sau khi khởi chạy, các Trojan đã cố gắng để có được quyền root cài đặt vào /system/app và chạy module độc hại. Khi nhận lệnh từ tội phạm mạng, module này tự động tải về, cài đặt và gỡ bỏ các chương trình đặc thù nằm ngoài khả năng hiểu biết của người dùng phổ thông.
Một ví dụ khác là chương trình độc hại khác giành quyền root được Dr.Web đặt tên là Android.Backdoor.176.origin đã lây nhiễm thông qua các trò chơi và ứng dụng tiện ích bị tội phạm mạng chỉnh sửa lại (tiêm nhiễm mã độc vào ứng dụng).

ma-doc-rootkit-an-minh-cho-lenh-tan-cong-android 2
Sau khi khởi động, Android.Backdoor.176.origin sẽ kết nối các máy chủ từ xa để kiểm soát thiết bị bị nhiễm mã độc này, lén lút cài đặt và gỡ bỏ các ứng dụng khi nhận lệnh chỉ huy, điều khiển từ máy chủ của tội phạm mạng. Bên cạnh đó Trojan sẽ gửi thông tin chi tiết hoạt động của thiết bị cho tội phạm mạng bao gồm các cuộc gọi, tin nhắn của nạn nhân…
Cách chống phần mềm độc hại:

– Cảnh giác, tìm hiểu kỹ phần mềm hoặc ứng dụng trước khi quyết định cài đặt

– Chú ý các câu hỏi đề nghị quyền riêng tư trong quá trình cài đặt ứng dụng.

– Chỉ cài đặt những phần mềm mà nhiều người đã sử dụng có đánh giá tốt trước đó.

– Nên trang bị phần mềm bảo mật để bảo vệ thiết bị cũng như những dữ liệu, thông tin cá nhân.