• Thứ Sáu, 10/10/2014 09:52 (GMT+7)

    Sâu Android Selfmite phát tán qua SMS đã trở lại

    Huy Hoàng
    (PCWorldVN) Phiên bản mới của sâu Selfmite chuyên gửi tin nhắn rác hiện đang trở lại, nguy hiểm hơn và đang lây nhiễm rất nhanh đến 16 quốc gia, trong đó có Việt Nam.

    Phiên bản đầu tiên của sâu Android (Android worm) Selfmite được phát hiện vào tháng 6, nhưng sau đó chúng nhanh chóng bị dập tắt bởi các nhà nghiên cứu bảo mật di động.

    Sâu Android là một loại mã độc hiếm thấy trong hệ sinh thái của Android. Chúng thường có cách phát tán qua tin nhắn SMS chứa liên kết đến một gói ứng dụng Android độc hại dạng *.APK. Thông thường, chúng được tự động gửi đến 20 địa chỉ đầu tiên trong danh bạ được lưu trên thiết bị Android của những nạn nhân.

    Các phiên bản mới bị phát hiện gần đây được đặt tên là Selfmite.b, được xem là có cấu trúc tương tự phiên bản cũ nhưng có khả năng lây lan mạnh và “hung hăng” hơn. Theo các nhà nghiên cứu tại công ty bảo mật AdaptiveMobile, sâu Android phiên bản mới này có thể gửi tin nhắn SMS chứa liên kết đến ứng dụng chứa mã độc đến toàn bộ các địa chỉ liên lạc trong danh bạ của nạn nhân.

    Android hiện đang là mục tiêu quan trọng của các hacker.
    Cũng theo công ty AdaptiveMobile, Selfmite.b đã gửi hơn 150.000 tin nhắn trong 10 ngày qua từ hơn 100 thiết bị bị nhiễm. Bên cạnh đó, sâu Android mới này có mức tiêu tốn lưu lượng dữ liệu truy cập nhiều gấp 100 lần so với Selfmite.a.

    Trung bình có khoảng 1.500 tin nhắn văn bản được gửi đi trong mỗi thiết bị nhiễm loại sâu này, khiến cho người dùng thuê bao di động phải gánh chịu những khoản phí tin nhắn rất lớn. Một số mạng di động có thể phát hiện và ngăn chặn kịp thời nhưng vô tình lại khiến cho chức năng gửi tin nhắn bình thường của người sử dụng bị vô hiệu hóa.

    Nếu như Selfmite.a bị phát hiện đang lây lan trên các thiết bị Android từ những người dùng ở Bắc Mỹ, thì Selfmite.b lại tấn công mạnh và rộng hơn. Hiện có khoảng 16 quốc gia khác nhau bị loại sâu Android này tấn công, gồm Canada, Trung Quốc, Costa Rica, Ghana, Ấn Độ, Iraq, Jamaica, Mexico, Morocco, Puerto Rico, Nga, Sudan, Syria, Mỹ, Venezuela và Việt Nam.

    Phiên bản đầu tiên của sâu Selfmite sử dụng địa chỉ URL rút gọn của goo.gl để dụ người dùng tải về các phần mềm độc hại dạng *.APK. Các địa chỉ URL này mặc dù khá tinh vi và sử dụng các phương thức mã hóa nhưng sau đó đã bị Google vô hiệu hóa. Từ đó, loại sâu Selfmite.a đã ngừng phát tán.

    Ở phiên bản mới, hacker tạo ra Selfmite đã có phương thức mới. Họ sử dụng các URL rút gọn của dịch vụ x.co của Go Daddy để tải các ứng dụng nguy hiểm từ một máy chủ khác của bên thứ ba.

    Go Daddy cũng vừa nhận được thông báo về việc Selfmite hiện đang phát tán qua dịch vụ rút ngắn tên miền của hãng và ngay sau đó những URL này đã bị vô hiệu hóa. Tuy nhiên, theo các chuyên gia bảo mật, thực tế hacker đã thay đổi cấu trúc của những tập tin APK để chúng khó bị phát hiện hơn. Từ đó, việc lây lan cũng khó có thể được ngăn chặn triệt để.

    Mục tiêu của các sâu Selfmite là mang tiền về cho hacker sau khi các ứng dụng độc hại đã được tải về máy nạn nhân. Các ứng dụng độc hại phiên bản cũ giả mạo ứng dụng Mobogenie (kho ứng dụng bên thứ ba trên Android).

    Selfmite.b sau khi cài đặt sẽ có hai biểu tượng trên màn hình chủ của thiết bị Android, một là Mobo Market và một là của Mobogenie. Tuy nhiên, khi nhấn vào chúng sẽ tự động tải về các ứng dụng độc hại khác, các ứng dụng này có thể thay đổi và không giống nhau vì chúng dựa trên địa chỉ IP trên thiết bị của nạn nhân. Từ đó, thiết bị sẽ bị các ứng dụng độc hại tự động cài đặt và truy cập các thông tin quan trọng để gửi về cho hacker.

    Theo hãng bảo mật Trend Micro, các ứng dụng Android độc hại tiếp tục tăng trưởng về số lượng và thủ đoạn ngày càng tinh vi, nguy hiểm trong năm nay. Cũng theo Trend Micro, ứng dụng độc hại phát tán qua nền tảng Android hiện đạt con số hai triệu trong quý đầu tiên của năm 2014. Trước đó 6 tháng, con số này chỉ là 1 triệu.