Các chuyên gia bảo mật vừa phát hiện ra một loại mã độc tống tiền (ransomware) mới nhắm vào Android, không chỉ mã hóa dữ liệu người dùng mà còn khóa thiết bị bằng cách thay đổi mã PIN màn hình khóa.
Người dùng cần cẩn trọng trước sự tấn công của ransomware DoubleLocker. ẢNH: ZDNET
Theo Thehackernews, DoubleLocker là công cụ ransomware đầu tiên được cho là tấn công vào thiết bị Android đã được phát hiện bởi hãng bảo mật ESET. Và theo chuyên gia nghiên cứu về phần mềm độc hại của ESET, DoubleLocker có liên kết với các trojan ăn cắp thông tin tài chính trên Android trước khi chuyển sang đòi tiền chuộc.
ESET cho rằng, ở giai đoạn đầu mã độc sẽ cố gắng xóa tài khoản ngân hàng hoặc PayPal, sau đó khóa thiết bị và dữ liệu của bạn để yêu cầu một khoản tiền chuộc. Trong tương lai, giá tiền chuộc mà mã độc này đưa ra có thể sẽ tăng lên.
Được phát hiện lần đầu tiên vào tháng 5 năm nay, DoubleLocker bắt đầu lan rộng thông qua một thông báo cập nhật Adobe Flash giả mạo trên các trang web bị xâm nhập. Sau khi cài đặt, phần mềm độc hại yêu cầu người dùng kích hoạt tính năng trợ năng của Google Play Services. Một khi có quyền truy cập này, phần mềm độc hại có thể chiếm quyền quản trị thiết bị và đặt mình như là ứng dụng mặc định cho màn hình chính (trình Launcher) mà người dùng không hề hay biết.
“Bất cứ khi nào người dùng nhấp chuột vào nút Home, ransomware sẽ được kích hoạt và thiết bị sẽ bị khóa lại. Nhờ sử dụng dịch vụ truy cập, người dùng không biết rằng họ khởi chạy phần mềm độc hại bằng cách nhấn vào Home”, chuyên gia bảo mật Lukas Stefanko của ESET cho biết.
Sau khi thực hiện, DoubleLocker sẽ thay đổi mã PIN của thiết bị thành một giá trị ngẫu nhiên mà kẻ tấn công biết và không được lưu trữ ở bất cứ nơi đâu, trong khi phần mềm độc hại mã hóa tất cả các tập tin bằng thuật toán mã hóa AES. Số tiền chuộc mà ransomware này đòi là 0,0130 bitcoin, tương đương khoảng 74,38 USD ở thời điểm hiện tại và yêu cầu nạn nhân phải thanh toán tiền chuộc trong 24 giờ.
Khi tiền chuộc được thanh toán, kẻ tấn công sẽ cung cấp khóa giải mã để mở khóa và các tập tin, cũng như đặt lại mã PIN từ xa để mở khóa thiết bị nạn nhân.
Theo Lukas Stefanko, đến nay không có cách nào để mở các tập tin mã hóa. Đối với các thiết bị không root, người dùng có thể thiết lập lại điện thoại của họ để mở khóa điện thoại nhằm thoát khỏi yêu cầu giá chuộc từ DoubleLocker. Nhưng đối với các thiết bị Android đã được root, nạn nhân có thể sử dụng công cụ Android Debug Bridge (ADB) để đặt lại mã PIN.
Cách tốt nhất để tự bảo vệ mình trước các cuộc tấn công ransomware là luôn tải ứng dụng từ các nguồn đáng tin cậy, như Google Play Store và quan sát nhà phát triển đã được xác minh. Ngoài ra, không bao giờ nhấp vào liên kết được cung cấp trong SMS hoặc email. Ngay cả khi email có vẻ hợp pháp, hãy chuyển trực tiếp tới trang web xuất xứ và xác minh bất kỳ bản cập nhật có thể nào.
Kiến Văn
Theo Thanhnien
