Biến thể mới của NotCompatible trên Android đe dọa các doanh nghiệp

Công ty bảo mật di động Lockout đã theo dõi quá trình phát triển của Android Trojan có tên NotCompatible. Phiên bản mới nhất của malware này đủ tinh vi để trở thành mối đe dọa với các doanh nghiệp.

NotCompatible.A được phát hiện vào năm 2012 đóng vai trò là một proxy trên các thiết bị lây nhiễm, nhưng không gây hại trực tiếp. Phiên bản malware trên di động cũng dễ dàng bị phát hiện do không sử dụng kiến trúc C&C phức tạp và kết nối không mã hóa.

Phiên bản mới nhất của loại malware này là NotCompatible.C. Theo Lookout, tác giả malware đã khiến nó khó có thể bị phát hiện. NotCompatible.C sử dụng kết nối peer-to-peer (P2P) tinh vi trước việc chặn IP và DNS và phụ thuộc vào nhiều máy chủ C&C ở nhiều nơi khác nhau, điều này cho phép malware tiếp tục hoạt động ngay cả khi một máy chủ điều khiển trực tiếp không hoạt động.

NotCompatible.C được phát tán thông qua các chiến dịch thư rác và các trang web bị xâm nhập. Tin tặc không trực tiếp khai thác mà lừa người sử dụng vào những trang web độc hại. Tin tặc đã mua lại một lượng lớn các trang web và tài khoản. Trong một chiến dịch spam được các nhà nghiên cứu bảo mật phát hiện, tin tặc chỉ sử dụng tài khoản Yahoo để tấn công. Một chiến dịch khác, tin tặc lại chỉ sử dụng tài khoản AOL.

Lookout chưa tìm thấy NotCompatible.C trong các cuộc tấn công hướng đến mạng các doanh nghiệp. Tuy nhiên, Lookout đã phát hiện ra hàng trăm thiết bị mạng liên quan đến phần mềm độc hại này. “Sau khi thiết bị bị lấy nhiễm bởi NotCompatible.C và đưa vào sử dụng, nó có thể cung cấp hoạt động mạng lưới botnet truy cập vào mạng của công ty. Sử dụng NotCompatible proxy, tin tặc có thể làm bất cứ điều gì, khai thác lỗ hổng và tìm kiếm dữ liệu”

NotCompatible là một công cụ tuyệt vời để nhắm đến các mục tiêu mạng doanh nghiệp bởi nó khó bị phát hiện và ngăn chặn bởi các hệ thống bảo mật. Lưu lượng truy cập của nó được mã hóa và kết nối P2P cho phép các malware hoạt động ngay cả khi máy chủ C&C đã bị chặn.