Virus SMS Selfmite.b quay trở lại, gửi 150.000 tin nhắn trong 10 ngày

Một phiên bản mới của virus Selfmite SMS cho Android, được báo cáo vào cuối tháng 6 dựa vào marketing để kiếm tiền, được phát hiện đã thay đổi và hoạt động dựa trên một phương pháp khác, tích cực hơn để đạt được mục tiêu tương tự như phiên bản gốc.

Dịch vụ tin nhắn SMS đã được duy trì như các phương pháp quảng cáo và lần này, những kẻ lừa đảo đã chọn một ứng dụng hấp dẫn hơn để phát tán virus. Theo các nhà nghiên cứu bảo mật, hiện nay phần mềm độc hại này có thể đưa mã vào ứng dụng Google Plus một cách hợp pháp.

Khi hiểm họa này được cài đặt, nó bắt đầu gửi tin nhắn cho tất cả các mục trong danh sách liên lạc, với các liên kết rút ngắn thông qua dịch vụ GoDaddy (x.co); URL chỉ dẫn đến một ứng dụng độc hại.

Khi danh sách các địa chỉ liên lạc đã hết, Selfmite.b khởi động lại quá trình gửi tin nhắn, có thể dẫn đến việc hóa đơn điện thoại của các nạn nhân bị tăng lên. Không quá mười ngày, Selfmite đã gửi 150.000 văn bản từ hơn 100 thiết bị bị lây nhiễm tại 16 quốc gia.

Có một số thay đổi có sẵn trong phiên bản này của mối đe dọa, khiến rõ ràng rằng những kẻ tội phạm phía sau nó đã trở nên có tổ chức hơn và đang tìm kiếm cách thức thu lợi nhiều nhất từ Selfmite.

Cải thiện tập tin cấu hình tải Selfmite

Khi được phát hiện lần đầu tiên, mục đích của Selfmite rất rõ ràng: Phát tán thông qua dịch vụ tin nhắn ngắn tới một số lượng hạn chế các cá nhân trong danh bạ và tạo ra bản sao của Mobogenie trên thiết bị của nạn nhân; động thái thứ hai rất quan trọng cho những kẻ khai thác đằng sau nó kiếm tiền bởi chúng được trả tiền cho mỗi lần cài đặt ứng dụng.

Các nhà nghiên cứu tại AdaptiveMobile, những người phát hiện ra phiên bản đầu tiên của virus, nhận thấy rằng những kẻ lừa đảo đã đa dạng hóa các phương thức kiếm tiền thông qua một tập hợp phức tạp các hướng dẫn tải về phần mềm độc hại từ một máy chủ điều khiển.

Các tập tin cấu hình hướng dẫn Selfmite quảng cáo các dịch vụ mà những kẻ lừa đảo được trả tiền theo IP của nạn nhân. Như vậy, người dùng tại các khu vực khác nhau được cung cấp nội dung khác nhau.

Selfmite tận dụng nhiều cơ hội để kiếm tiền

Các tập tin cấu hình cũng được sử dụng cho một phương pháp lưu hành tiền tệ thứ hai, liên quan đến một ứng dụng Google Plus bị xâm nhập. Ban đầu ứng dụng chuyển hướng đến một ứng dụng khác trong Google Play, có lẽ cũng là một phần của chương trình trả tiền cho mỗi lượt cài đặt.

Bằng cách cung cấp các nội dung không mong muốn cho người sử dụng, những kẻ khai thác đảm bảo một nguồn thu nhập từ các mạng quảng cáo và giới thiệu.

Các nhà nghiên cứu cho biết, khi tin nhắn văn bản từ một nạn nhân bị lây nhiễm được truy cập từ các thiết bị iOS, các URL rút ngắn chuyển hướng đến các ứng dụng tương ứng tại Apple Store.

Do cách tiếp cận mạnh mẽ hơn được sử dụng trong phiên bản Selfmite hiện nay, số nạn nhân lớn hơn nhiều so với trường hợp của các phiên bản trước đó. “Thêm vào đó là rất nhiều cách để kiếm tiền cùng nhau khiến Selfmite.ba trở thành vấn đề thực sự nghiêm trọng”, các nhà nghiên cứu cho biết.

Softpedia