Google chi tiết các bước xử lý một chiến dịch lửa đào Android

Tại Virus Bulletin 2015, một kĩ sư cấp cao của Google đã chi tiết các bước xử lý một chiến dịch lừa đảo nhắm đến người dùng Android tại Nga.

Sự phổ biến của hệ điều hành Android khiến nó trở thành đối tượng tấn công của rất nhiều tin tặc không gian mạng. Chúng không chỉ sử dụng ứng dụng App Store bên thứ ba mà còn đưa rất nhiều malware lên dịch vụ Google Play chính thức.

Google đã thừa nhận rằng hệ sinh thái Android gặp vấn đề với malware và công ty đã bắt đầu thực hiện các biện pháp bảo vệ người dùng của mình, bao gồm phát hành các bản vá lỗ hổng vào thời điểm cố định hàng tháng và các cơ chế mới giúp loại bỏ những ứng dụng độc hại tiềm năng (PHA) ra khỏi điện thoại.

Sau một thời gian dài các công ty bảo mật báo cáo lây nhiễm malware trên Android gia tăng chóng mặt, Google đã báo cáo vào tháng 4 năm 2015 rằng tỉ lệ PHA trên toàn thế giới đã giảm gần 50% so với cùng kì năm 2014. Và 6 tháng đầu năm nay số lượng thiết bị lây nhiễm còn giảm nhiều hơn nữa.

Một trong những hệ thống sử dụng bởi Google nhằm ngăn chặn malware trên Android là dịch vụ Google Play Store, thực hiện quét an ninh hơn 200 triệu thiết bị mỗi ngày. Điều này bao gồm cả một số công nghệ chạy trên thiết bị người dùng như Safety Net phát hiện và giảm thiểu tấn công mạng và các mối đe dọa khác không liên quan đến ứng dụng; Verify Apps, một hệ thống được thiết kế cảnh báo người dùng về việc cài đặt PHA và quét ứng dụng đã cài đặt.

Trong buổi thuyết trình tại hội nghị Virus Bulletin tại Prague, Sebastian Porst, giám đốc kĩ sư phần mềm tại Google đã tiết lộ công việc đội ngũ bảo mật Android của Google đã thực hiện ứng cứu nội bộ vào tháng 1 năm 2015 và sử dụng hệ thống này theo dõi, đánh sập một chiến dịch tấn công lừa đảo người dùng tại Nga.

Với chiến dịch này, Google đã theo dõi 6 họ ứng dụng độc hại tiềm năng (PHA) và người dùng đã phát tán nó thông qua tải về thiết bị. Khi malware được cài đặt trên điện thoại, nó sẽ theo dõi ứng dụng truy cập bởi nạn nhân và khi phát hiện ra Sberbank hoặc ứng dụng Google Play đang được sử dụng, nó sẽ hiển thị cửa sổ lừa đảo lên trên nhằm thu hút người dùng giao nộp thông tin nhạy cảm. Malware được thiết kế làm việc trên cả máy chủ điều khiển và máy chủ tin nhắn SMS, thực hiện tấn công có chủ đích bằng cách lạm dụng quyền truy cập quản trị viên.

Chiến dịch xử lý đầu tiên của Google được thực hiện vào giữa 12 tháng 3 đến 29 tháng 3. Trong đợt này, công ty bắt đầu quét các thiết bị thường xuyên hơn, tăng số lượt quét từ mỗi tuần sang mỗi ngày. Sau mỗi lượt quét người dùng nhận được cảnh báo về ứng dụng độc hại, dẫn đến giảm thiểu số lượng lớn cài đặt nhưng điều này vẫn chưa hiệu quả như công ty mong muốn. Sau đợt đầu tiên, Google nhận thấy có một phần nhỏ người dùng quyết định vô hiệu hóa tính năng Verify App do có quá nhiều cảnh báo nhận được mỗi ngày.

Trong chiến dịch xử lý thứ hai diễn ra vào 30 tháng 3 đến 10 tháng 6, Google đã thực hiện nhiều hành độc tích cực hơn, bao gồm tự động chặn cài đặt các họ phần mềm PHA. Google cũng tự động loại bỏ các ứng dụng độc hại trên thiết bị lây nhiễm. Vấn đề ở chỗ các ứng dụng này lợi dụng quyền quản trị viên và chúng can thiệp vào quá trình loại bỏ. Rất khó để gỡ cài đặt từ xa thông qua Verify Apps.

Để đạt được mục tiêu này, Google đã sử dụng Intent Firewall, một thành phần của Android framework để chặn phát tán từ các ứng dụng độc hại quyền quản trị viên và loại bỏ PHA. Sau khi dừng được mạng lưới phát tán của mối đe dọa, Google nhận thấy lượt cài đặt giảm thiểu đáng kể và giảm hơn 80% thiết bị lây nhiễm.

Porst xác nhận rằng đội ngũ bảo mật Google có quyền loại bỏ ứng dụng độc hại từ xa trong các điều khoản thỏa thuận dịch vụ. Google xác định quyền quản trị thiết bị “quá mạnh” dẫn đến công ty phải thực hiện nhiều biện pháp mới có thể ngăn chặn được vấn đề lạm dụng tính năng này. Với Android 6.0 Mashmallow, Google đang cố gắng ngăn chặn ứng dụng hiển thị cửa sổ cảnh báo khiến người dùng khó chịu và thiết kế quyền để máy chủ điều khiển và máy chủ SMS khó có thể sử dụng.

Securityweek