Đầu tháng vừa rồi,ơnthiếtbịAndroidtạiViệtNambịnhiễmmalwareTrungQuốgiá đô la các nhà nghiên cứu an ninh thuộc trung tâm Check Point đã đưa ra báo cáo về một loại phần mềm độc hại mới được phát hiện có cái tên HummingBad. Loại malware này đã lây lan qua 10 triệu thiết bị trên toàn thế giới.

Theo báo cáo, loại malware này do một nhóm tin tặc Trung Quốc có cái tên YingMob quản lý. Nhóm này đã nâng cấp các phần mềm độc hại để cài vào các ứng dụng giả mạo nhằm thu về lợi nhuận quảng cáo giả mạo. Check Point cho biết: “Đây là một nhóm có tổ chức cao với 25 nhân viên và được chia thành 4 nhóm chịu trách nhiệm phát triển các thành phần độc hại của HummingBad”. Nhóm này có vẻ cực kỳ thành công với lợi nhuận từ phần mềm độc hại lên tới 300.000 USD/tháng. 2 quốc gia bị ảnh hưởng nặng nề nhất là Trung Quốc và Ấn Độ.

Báo cáo cũng cho biết, HummingBad bắt đầu bằng hình thức tấn công “drive-by download”, tại đó malware được đẩy về thiết bị khi người sử dụng truy cập vào một trang nhiễm mã độc, và thường là những trang có nội dung người lớn.

HummingBad sử dụng một chuỗi tấn công tinh vi và nhiều bước với 2 thành phần chính. Thành phần đầu tiên sẽ truy cập vào phần root của thiết bị với một rootkit có khả năng khai thác nhiều lỗ hổng. Nếu thành công, kẻ tấn công sẽ có khả năng truy cập vào toàn bộ thiết bị. Nếu việc root thiết bị không thành công, thành phần thứ 2 sẽ sử dụng một thông báo cập nhật hệ thống giả mạo, lừa người sử dụng trao cho HummingBad quyền truy cập vào hệ thống.

Dù việc root hệ thống có thành công hay không, HummingBad sẽ tải về số ứng dụng lừa đảo nhiều nhất có thể. Các ứng dụng độc hại này được tạo ra với sự kết hợp của 6 thành phần độc hại và sẽ được điều chỉnh đôi chút tùy theo chức năng. Trong một vài trường hợp, các thành phần độc hại này sẽ được tải về thiết bị một cách tự động sau khi ứng dụng nhiễm mã độc đã được cài đặt.