-
09/04/2020
-
122
-
1.475 bài viết
Mã độc Kimwolf nhắm tới Việt Nam, tấn công hơn 2 triệu thiết bị Android toàn cầu
Một botnet hay còn gọi là mạng lưới các thiết bị bị tin tặc chiếm quyền điều khiển có tên Kimwolf vừa được các chuyên gia an ninh mạng đánh giá là cực kỳ nguy hiểm. Theo các báo cáo phân tích mới nhất, mã độc này đã kiểm soát hơn 2 triệu thiết bị Android trên toàn cầu.
Đáng chú ý, Việt Nam nằm trong nhóm quốc gia bị ảnh hưởng nặng nhất bên cạnh Brazil, Ấn Độ và Ả Rập Xê Út. Các hệ thống giám sát ghi nhận khoảng 12 triệu địa chỉ Internet khác nhau mỗi tuần có liên quan đến mạng botnet Kimwolf. Nhóm thiết bị bị ảnh hưởng nhiều nhất là Android TV Box, Smart TV giá rẻ, không rõ nguồn gốc hoặc các đầu thu kỹ thuật số trôi nổi đang được nhiều gia đình sử dụng.
Đáng chú ý, Việt Nam nằm trong nhóm quốc gia bị ảnh hưởng nặng nhất bên cạnh Brazil, Ấn Độ và Ả Rập Xê Út. Các hệ thống giám sát ghi nhận khoảng 12 triệu địa chỉ Internet khác nhau mỗi tuần có liên quan đến mạng botnet Kimwolf. Nhóm thiết bị bị ảnh hưởng nhiều nhất là Android TV Box, Smart TV giá rẻ, không rõ nguồn gốc hoặc các đầu thu kỹ thuật số trôi nổi đang được nhiều gia đình sử dụng.
Nguyên nhân chính đến từ việc nhiều thiết bị Android có sẵn một tính năng kỹ thuật tên là ADB (Android Debug Bridge) cho phép điều khiển và kiểm tra thiết bị từ xa. Đáng lo ngại, khoảng 67% số thiết bị đã bị kiểm soát có sẵn cổng ADB mở mặc định, cấu hình bảo mật yếu và không có cơ chế xác thực khiến tin tặc có thể truy cập từ xa mà người dùng hoàn toàn không biết.
Theo đánh giá của các chuyên gia WhiteHat, Kimwolf là biến thể Android của botnet AISURU. Sau khi xâm nhập, mã độc chiếm quyền điều khiển thiết bị và biến chúng thành điểm trung chuyển lưu lượng Internet, giống như cho người khác “mượn” đường truyền mạng tại nhà. Thông qua đó, tin tặc kiếm tiền phi pháp bằng cách bán lại băng thông Internet cho các dịch vụ proxy thương mại hoặc che giấu nguồn gốc thật khi thực hiện các hành vi tấn công mạng như dò quét tài khoản, đánh sập website và phát tán lưu lượng độc hại. Ngoài ra, thiết bị bị nhiễm còn có thể bị lợi dụng để tự động cài đặt ứng dụng theo yêu cầu của tin tặc.
Theo đánh giá của các chuyên gia WhiteHat, Kimwolf là biến thể Android của botnet AISURU. Sau khi xâm nhập, mã độc chiếm quyền điều khiển thiết bị và biến chúng thành điểm trung chuyển lưu lượng Internet, giống như cho người khác “mượn” đường truyền mạng tại nhà. Thông qua đó, tin tặc kiếm tiền phi pháp bằng cách bán lại băng thông Internet cho các dịch vụ proxy thương mại hoặc che giấu nguồn gốc thật khi thực hiện các hành vi tấn công mạng như dò quét tài khoản, đánh sập website và phát tán lưu lượng độc hại. Ngoài ra, thiết bị bị nhiễm còn có thể bị lợi dụng để tự động cài đặt ứng dụng theo yêu cầu của tin tặc.
Nghiêm trọng hơn, các chuyên gia nghi ngờ rằng một số thiết bị Android giá rẻ đã được tích hợp sẵn các phần mềm trung gian của dịch vụ proxy ngay từ khi xuất xưởng. Điều này đồng nghĩa với việc người dùng có thể mua phải thiết bị đã tiềm ẩn rủi ro từ đầu và thiết bị sẽ tự động tham gia mạng botnet ngay khi kết nối Internet.
Để tránh biến thiết bị gia đình thành công cụ cho tội phạm mạng, chuyên gia WhiteHat khuyến cáo người dùng Việt Nam:
Để tránh biến thiết bị gia đình thành công cụ cho tội phạm mạng, chuyên gia WhiteHat khuyến cáo người dùng Việt Nam:
- Kiểm tra và tắt dịch vụ ADB trên Android TV/TV Box nếu không có nhu cầu sử dụng chuyên sâu. Trong phần Cài đặt hãy tắt các tùy chọn như Gỡ lỗi USB hoặc Gỡ lỗi qua mạng để ngăn truy cập trái phép từ xa.
- Cẩn trọng khi mua sắm thiết bị Android giá rẻ, đặc biệt là các TV Box, Smart TV không rõ nguồn gốc, thương hiệu lạ hoặc đã được “bẻ khóa” sẵn vì đây là nhóm thiết bị có nguy cơ cao bị cài sẵn phần mềm độc hại.
- Với doanh nghiệp và quản trị mạng cần siết chặt bảo mật các thiết bị Android và IoT trong hệ thống, đồng thời chặn các kết nối từ dịch vụ proxy bên ngoài vào dải IP nội bộ (RFC 1918) và các cổng nhạy cảm nhằm ngăn chặn hành vi xâm nhập và phát tán mã độc.
Theo The Hacker News
Chỉnh sửa lần cuối: