Công cụ theo dõi của windows được tích hợp với mã độc trong android

Gần như chắc chắn rằng bạn sẽ đồng bộ chiếc Smartphone của mình với máy tính cá nhân của bạn trong khi chuyển các files hay việc backup hoặc copy 1 file backup vào các thiết bị.

Nếu bạn đang sử dụng hệ điều hành Windows cùng với các thiết bị khác như máy tính bảng, smartphone sử dụng hệ điều hành Android thì đây là một tin xấu cho bạn, bời vì các nhà nghiên cứu về an ninh mạng tại FireEye đã định nghĩa một phần mã độc mới của hệ điều hành windows cũng có thể lây nhiễm qua các thiết bị android.

Trong suốt cuộc điều tra một cuộc tấn công có chủ đích dự đến một cơ sở tài chính của mỹ, các nhà nghiên cứu đã phát hiện một phiên bản mới của Windows Remote Access Trojan (RAT) được gọi là “Win-spy software Pro v16“, đây là một công cụ giám sát và theo dõi người dùng. WinSpy đã được nhúng trong macro của tài liệu (tài liệu này sẽ được gửi cho nạn nhân, ở đây macro có thể được hiểu là đoạn chương trình sẽ thực thi ngay khi tài liệu này được mở) để triển ra một chiến dịch lừa đảo email (Spear Phishing Email).

“Gần đây các mã độc thuộc kiểu “Android Remote Access Trojan” (android RAT)- điển hình như Dendroid hay AndroRAT đã tăng đột biến và tập trung vào các thiết bị điều khiển di động. GimmeRAT là một ví dụ điển hình khác của mã độc đã xâm nhập được vào hệ sinh thái của android.” các nhà nghiên cứu cho biết.

Các nhà nghiên cứu cho biết các thành phần gián điệp được tải sẵn với WinSpy như: GimmeRat có thể cho phép hacker có thể điều khiển thiết bị của nạn nhân,cũng có mục đích sử dụng để xem luồng tin nhắn từ xa trong chiếc điện thoại của nạn nhân hoặc thông quan một bộ điều khiển. Họ cũng phát hiện thêm các thành phần khác nhau có thể được sử dụng để tham gia giám sát các mục tiêu

Đề cài đặt các mã độc trong hệ điều hành Window, WinSpy kết nối với các thiết bị di động khác để lây lan, chương trình sẽ sử dụng một công cụ dòng lệnh được gọi là Android Debug Bridge (ADB), nó cho phép các mã độc xâm nhập vào hệ điều windows và thực thi lệnh trực tiếp trên các thiết bị Android. ADB là một công cụ chính đáng và nằm trong bộ phát triển ứng dụng Andriod (Android Offficial Android Software Development KIT – SDK). Nếu USB được sử dụng ở chế độ debug (chế độ  sửa lỗi ), nó có thể kích họa để bắt đầu các quá trình cài đặt.

Các thành phần mới của android cũng dễ dàng giám sát các mục tiêu và có 3 ứng dụng khác nhau nằm trong số các thành phần của Android Surveillance package (gói giám sát android).

Các nhà nghiên cứu cung cho biết họ tìm thấy 3 ứng dụng khác nhau là các thành phần của gói dữ liệu giám sát. Một ứng dụng yêu cầu người điểu khiển qua một bộ điểu khiển của windows và yêu cầu các truy cập vật lý đến thiết bị trong khi hai ứng dụng khác có thể triển khai trong một mô hình Client-Server và cho phép truy cập từ xa thông qua 2 thiết bị android.

Kỹ thuật này hiện nay là mới, tương tự các dữ liệu được sử dụng trong một mã độc khác của windows là : “Trojan.Droidpal‘ đã lây nhiễm qua thiết bị android được phát hiện bởi phần mềm Antivirus của Symantec trong tháng 1 vừa qua.

Sử dụng các chương trình android độc hại, kẻ tấn công có thể theo dõi vị trí thực của nạn nhân (GPS Location), có thể theo dõi màn hình của nạn nhân và gửi các dữ liệu từ xa tới Command-and-Control server (tạm hiểu là server điều khiển hoạt động của mã độc). Trojan cũng có thể kiểm soát các tin nhắn từ các thiết bị của nạn nhân.

“Hostname, cổng dịch vụ hay tên đăng nhập đã được sử dụng để kết nối tới FTP Server của hacker mà hacker sử dụng để gửi các thông tin thu thập được của nạn nhân sẽ được thay đổi và tạo lại theo các tham số thời gian. Rất khó để phát hiện ra chúng.” Các nhà cung cấp cho biết.

Khi hệ thống windows đã bị lây nhiễm WinSpy, một kẻ tấn công có thể theo dõi màn hình, ghi lại các thao tác (KeyLogger) và cũng có thể sử dụng nó để mở một backdoor cho việc nhập lệnh từ xa, upload và download nhiều các file cũng như thực thi các lệnh từ xa.

Với sự lan rộng của SmartPhones, điển hình là nền tảng di động như Android, đã mở ra các thị trường mới của bọn tội phạm mạng yêu cầu RATs hỗ trợ nền tảng đó . Chiến thuật thú vị này có thể được sử dụng để phục vụ các ứng dụng giả mạo ngân hàng di động …