Thứ Năm, 25 tháng 8, 2016

Hiểm họa khôn lường từ các game Pokemon Go giả mạo

Khi tải game Pokemon Go từ các nguồn không chính thống, nguy cơ người dùng bị nhiễm mã độc là không hề nhỏ và loại mã độc RAT một khi đã được cài vào thiết bị cá nhân của người dùng sẽ đưa đến những hậu quả khôn lường cả với hệ thống mạng mà thiết bị đó kết nối.
Nhận định kể trên được thành viên hph2015 của Diễn đàn an ninh mạng Việt Nam WhiteHat.vn đưa ra trong bài phân tích về mã độc trong các bản giả mạo game thực tế ảo Pokemon Go vừa được thành viên này đăng tải trên diễn đàn vào chiều qua, ngày 24/8/2016. Bài phân tích của thành viên hph2015 đã được Ban quản trị Diễn đàn an ninh mạng Việt Nam WhiteHat.vn đánh giá khá tốt.
Thời gian gần đây, game thực tế ảo Pokemon Go đang tạo nên "cơn sốt" trong giới trẻ Việt Nam (Ảnh: Việt Hải)
Trước đó, hồi đầu tháng 7/2016 - thời điểm game thực tế ảo Pokemon Go chưa được nhà phát hành Niantic Labs cung cấp chính thức tại Việt Nam tuy nhiên người chơi trong nước vẫn có thể tải về từ nhiều nguồn không chính thống trên Internet, Bkav đã có cảnh báo người dùng về sự xuất hiện của các game Pokemon Go giả mạo khiến smartphone của người dùng có thể bị tấn công. Phân tích một số ứng dụng Pokémon Go giả mạo, Bkav cho biết loại mã độc này có khả năng kiểm soát hoàn toàn thiết bị Android của người dùng.
Thời điểm hiện tại, khi game Pokemon Go đã được nhà phát hành cung cấp chính thức tại Việt Nam, người chơi trong nước đã có thể tải miễn phí game Pokemon Go trên các kho ứng dụng App Store và Google Play. Chuyên gia Bkav cho biết, qua kiểm tra của các chuyên gia bảo mật của Bkav thì hiện các phiên bản chính thức game Pokemon Go trên App Store và Google Play không có mã độc.
Cũng theo chuyên gia Bkav, sau khi có bản chính thức game Pokemon Go, nguy cơ các đối tượng xấu đưa ra các ứng dụng nhái, giả mạo game Pokemon Go để lừa, dụ người dùng sử dụng nhằm phát tán mã độc đã giảm bớt song khả năng nhiễm mã độc vẫn còn. Do đó, người dùng vẫn cần cẩn trọng khi cài phần mềm, chỉ cài từ kho chính thống Google Play hoặc App Store, không nên tải các phiên bản từ nguồn bất kỳ trên mạng.
Được sự đồng ý của ban quản trị diễn đàn WhiteHat.vn, ICTnews xin giới thiệu đến độc giả bài phân tích của thành viên hph2015 về mã độc trong các bản giả mạo game thực tế ảo Pokemon Go được tải về từ nguồn không chính thống trên mạng:
Bước 1: Tôi tải các file cài đặt game từ Google Play (nguồn chính thống) và các nguồn bên ngoài.
Bước 2: Dựa vào checksum (công cụ cho phép kiểm tra tính toàn vẹn của file - PV) để tìm các file cài khả nghi
Cụ thể, tiến hành tính checksum của file cài gốc (từ Google Play)
Tiếp đó, để tất cả các file còn lại vào cùng thư mục và kiểm tra xem file nào có checksum khác với file tải từ Google Play.
Sau khi kiểm tra cho thấy, file pkm.apk có checksum khác với các file còn lại, trong khi tải về cùng phiên bản 0.29.0. Như vậy, đã tìm thấy file khả nghi.
Bước 3: Dịch ngược 2 file rồi so sánh
Nhận thấy ở file tải từ third-party source (nguồn không chính thống - PV) có thêm 3 gói tin là a, b và net.droidjack.server.
Bước 4: Phân tích mã nguồn của file tải từ third-party source (nguồn không chính thống - PV)

Trong class CallListener của package net.droidjack.server có các method:
- private void a(boolean z) : bật kết nối Wi-Fi.
- private void b(boolean z) : bật kết nối dữ liệu di động.
- protected void a(File file) : ghi âm từ micro và lưu vào file.
- public void onReceive(Context context, Intent intent) : nghe điện thoại.
Và các method của class Controller: 
private static void i() : đọc và ghi lại tin nhắn.
Sơ bộ nhận định thì app Pokemon Go được tải từ third-party source (nguồn không chính thống -PV) này đã được “khuyến mãi” thêm một số chức năng ghi lén cực kì nguy hiểm, có thể là 1 con virus RAT (RAT - Remote Access Tool là một trong những trojan nguy hiểm bậc nhất trên Android. Trojan này có nhiều tính năng độc hại như: tự động cài ứng dụng bất kì theo yêu cầu của hacker lên điện thoại nạn nhân, bật camera, micro để quay phim, thu âm, ghi lại tất cả các cuộc gọi và tin nhắn của chủ nhân thiết bị… đồng thời gửi các thông tin đánh cắp được cho hacker - PV)
Có thể thấy các class được chèn thêm chứa các phương thức với chức năng chẳng khác nào một spyware thu thập thông tin trên máy nạn nhân, kết nối Wi-Fi và chờ cơ hội để gửi về cho máy chủ phát tán.
Ngoài ra trong class, có hàm thực hiện request đến trang web có địa chỉ:  http://www.droidjack.net/storeReport.php
Vào đường dẫn thu được ở trên, có thể thấy trang chủ của droidjack, một trong những loại RAT nguy hiểm nhất trên Android.
Khi máy bị nhiễm loại RAT này thì hacker đã hoàn toàn kiểm soát thiết bị, bật kết nối Wi-Fi, dữ liệu di động, ghi âm,quay phim, đọc tin nhắn, lịch sử duyệt web… và gửi về C&C server.
Mọi người có thể thấy rõ địa chỉ và cổng kết nối đến C&C server trong đoạn code phía trên.
Qua những phân tích nêu trên, thành viên hph2015 đưa ra kết luận: như vậy, khi tải ứng dụng từ nguồn không chính thống, nguy cơ người dùng bị nhiễm mã độc là không hề nhỏ, những mã độc RAT cài trong các ứng dụng này một khi đã được cài vào thiết bị cá nhân sẽ dẫn đến các hậu quả khôn lường không chỉ đối với cá nhân người dùng mà nó còn có thể trở thành một hướng xâm nhập mới đối với toàn bộ hệ thống mạng mà thiết bị đó kết nối tới.
M.T
Duong Nguyen
Duong Nguyen

Work hard and learn more invaluable lessons when serving in professional business oriented environment so as to accumulate more experience for further overall advancement.

Vui lòng chia sẻ cảm nghĩ của bạn / Spread out Your Opinions

Vui lòng sử dụng Tiếng Việt có dấu và không bình luận quảng cáo hoặc nội dung không liên quan tới chủ đề.
Please use English to post a comment and do not spamming or marketing.