Công cụ Mobile Threat Hunting của iVerify hoạt động dựa trên nhiều công nghệ, bao gồm phát hiện theo chữ ký mã độc, phương pháp suy diễn, và học máy, để tìm kiếm những bất thường trong hoạt động của các thiết bị iOS và Android. Đặc biệt, người dùng trả phí sẽ được kiểm tra thiết bị của mình thường xuyên, trong khi ứng dụng miễn phí iVerify Basics cũng cho phép người dùng gửi tập tin chẩn đoán đặc biệt để nhận phân tích trong vài giờ.

Rocky Cole, giám đốc điều hành của iVerify, cho biết rằng việc phát hiện ra những vụ nhiễm mã độc này thật sự gây bất ngờ, đơn giản vì trong một thế giới mà phần mềm gián điệp thường được coi là chỉ nhằm vào những mục tiêu nhạy cảm, thực tế lại cho thấy một bức tranh rộng lớn hơn về các đối tượng bị ảnh hưởng. Có 7 ca nhiễm trong số 2.500 bản quét có thể là số liệu nhỏ, nhưng nó còn cho thấy rằng phần mềm gián điệp đang lan rộng trên toàn cầu như thế nào.

NSO Group thường chỉ bán sản phẩm của mình cho các cơ quan tình báo và thực thi pháp luật được kiểm duyệt, và theo đại diện mảng truyền thông của NSO, họ khẳng định rằng công nghệ này được sử dụng hàng ngày. Những phát hiện từ iVerify sẽ được trình bày trong một hội nghị vào ngày thứ Sáu tại Maui, Hawaii, cho thấy sự cần thiết phải đầu tư vào công nghệ phát hiện mã độc trong bối cảnh phần mềm gián điệp trở nên tinh vi hơn.

Cole nhấn mạnh rằng công nghệ hiện nay cho phép người dùng biết chính xác xem điện thoại của họ có bị nhiễm mã độc hay không, thay vì cứ ngỡ rằng các thiết bị như iPhone hay Android là an toàn khi mới mua. Điều này đánh dấu sự thay đổi lớn trong cách mà người tiêu dùng nên tiếp cận vấn đề an ninh của thiết bị di động của họ, khi mà tỷ lệ nhiễm mã độc thực tế có thể cao hơn nhiều so với nhận thức hiện tại của họ về vấn đề này.

Driver này có thể hoạt động ở cấp độ kernel, cho phép malware truy cập đến các phần quan trọng của hệ điều hành cũng như thực thi việc ngưng các tiến trình bảo mật. Các nhà nghiên cứu từ công ty an ninh mạng Trellix đã phát hiện thấy một cuộc tấn công mới tận dụng phương thức “bring-your-own-vulnerable-driver” (BYOVD) với phiên bản cũ của driver anti-rootkit để ngăn chặn các sản phẩm bảo mật trên hệ thống được nhắm mục tiêu.

Theo thông tin từ Trellix, phần mềm độc hại với tên file kill-floor.exe đã thả driver dễ tổn thương mang tên ntfs.bin tại thư mục người dùng mặc định trên Windows. Sau đó, nó tạo dịch vụ ‘aswArPot.sys’ thông qua công cụ Service Control (sc.exe) để đăng ký driver.

Malware này tiếp tục sử dụng danh sách cứng 142 quy trình liên quan đến các công cụ bảo mật và so sánh với nhiều hình chóp (snapshot) của các quy trình đang hoạt động trên hệ thống. Khi tìm thấy sự khớp, malware tạo một handle để tham chiếu đến driver Avast đã được cài đặt. Tiếp đó, nó đã khai thác API ‘DeviceIoControl’ để phát hành các lệnh IOCTL cần thiết nhằm ngừng hoạt động của driver này.

Các tiến trình bị nhắm đến từ nhiều giải pháp bảo mật nổi tiếng khác nhau, bao gồm McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET và BlackBerry. Khi các biện pháp phòng thủ bị vô hiệu hóa, malware có thể thực hiện các hoạt động độc hại mà không gây ra cảnh báo cho người dùng hay bị chặn lại.

Điều này không phải là vô nghĩa, vì driver và các quy trình tương tự đã được ghi nhận bởi các nhà nghiên cứu tại Trend Micro vào đầu năm 2022 trong một cuộc điều tra tấn công ransomware AvosLocker. Trước đó vào tháng 12 năm 2021, đội ngũ Response Services của Stroz Friedberg cũng phát hiện rằng ransomware Cuba đã sử dụng một script để khai thác chức năng trong driver Avast’s Anti-Rootkit để vô hiệu hóa các giải pháp bảo mật trên hệ thống của nạn nhân.

Các lỗi nghiêm trọng với mã CVE-2022-26522 và CVE-2022-26523, mà các nhà nghiên cứu tại SentinelLabs đã phát hiện vào khoảng thời gian đó, đã tồn tại từ năm 2016, có thể được khai thác nhằm tăng quyền hạn cho phép chúng vô hiệu hóa các sản phẩm bảo mật.

Các quảng cáo này có xu hướng lừa đảo. Sau khi một người cài đặt một ứng dụng như vậy vào thiết bị Android của họ, họ không bắt buộc phải chạy nó. Trojan tạo ra nhiều dịch vụ chạy nền khác nhau. Nó thay đổi tên và biểu tượng trong ngăn ứng dụng thành Cài đặt hoặc Google Play.

Các nhà nghiên cứu tìm thấy phần mềm độc hại HiddenAds trong hàng chục ứng dụng Android được lưu trữ trên Cửa hàng Google Play.

Các dịch vụ của các nhà sản xuất chương trình độc hại bắt đầu hiển thị các quảng cáo thường xuyên trên thiết bị di động. Các hình ảnh mô tả những gì có vẻ là quảng cáo xen kẽ với nhiều nút, bao gồm cảnh báo không có thật rằng thiết bị đang gặp rủi ro. Đây chỉ là những phương pháp thuyết phục người dùng tải xuống một chương trình khác.

Dữ liệu của McAfee chỉ ra rằng một số người tiêu dùng đã rơi vào tình trạng bị lừa đảo, vì một số chương trình này có hơn một triệu lượt tải xuống. Những người dùng này chủ yếu đến từ Hàn Quốc, Nhật Bản và Brazil.

Nghiên cứu cũng mô tả hoạt động của virus. Các lớp Contact Provider, ContactsContract và Directory được sử dụng. Tệp metadata của lớp thư mục này cung cấp thông tin đặc biệt. Thông tin này có thể được nhà phát triển có thể sử dụng để tạo thư mục tùy chỉnh và chuyển thông tin giữa thiết bị và dịch vụ web.

Nhà cung cấp liên hệ xác minh thông tin của ứng dụng khi nó được cài đặt hoặc thay đổi. Đây là nơi mã của phần mềm độc hại HiddenAds được lưu giữ và nó được chạy khi một chương trình được cài đặt hoặc cập nhật. Sử dụng điều này, nó thiết lập một dịch vụ quảng cáo độc hại. Dịch vụ này tự động bắt đầu ngay cả khi nó đã bị chấm dứt. Sau đó, nó che giấu ứng dụng bằng cách đổi tên và thay đổi biểu tượng của nó.

Trên Google Play, các ứng dụng System Cleaner, ứng dụng chăm sóc pin và trình tối ưu hóa khá phổ biến. Chúng không làm gì để tăng hiệu suất của điện thoại thông minh của bạn, nhưng phần lớn người tiêu dùng không biết.

Đây là danh sách các chương trình đã bị nhiễm HiddenAds:

1. Junk Cleaner
2. EasyCleaner
3. Power Doctor
4. Super Clean
5. Full Clean
6. Fingertip Cleaner
7. Quick Cleaner
8. Keep Clean
9. Windy Clean
10. Carpet Clean
11. Cool Clean
12. Strong Clean
13. Meteor Clean

Hiện tại, nhóm nghiên cứu của McAfee đã báo cáo những phát hiện và Google đã xóa các ứng dụng độc hại khỏi Cửa hàng Play.

Apple đã khẳng định rằng phần mềm độc hại là một vấn đề lớn trên Android, do đó, các ứng dụng tải rất rủi ro. Apple đang cố gắng tạo ra một cái cớ để ngăn chặn việc mất doanh thu từ các tài khoản nhà phát triển và khoản phí 30% mà họ thu được từ họ. Mặc dù Android không hoàn toàn an toàn, nhưng Google đã kết hợp các rào cản vào hệ điều hành để ngăn chặn việc chuyển tải các ứng dụng.

Máy bạn sử dụng RAM nào? Loại chip CPU máy bạn là gì? Bạn đang dùng phiên bản BIOS nào? Không phải lúc nào cũng dễ dàng có được những chi tiết như vậy mà không cần sử dụng chương trình của bên thứ ba.

GFXplorer là một công cụ phần mềm miễn phí trên Windows giúp hiển thị thông tin hệ thống của bạn một cách rõ ràng nhất. Ứng dụng này có giao diện theo dạng thẻ. Tab đầu tiên có nhãn Windows, hiển thị phiên bản hệ điều hành mà máy tính của bạn đang chạy, số bản build, ngày cài đặt và kiến ​​trúc hệ thống.

GFXplorer cũng hiển thị tổng bộ nhớ ảo khả dụng và số lượng hiện đang sử dụng. Nó cũng liệt kê phiên bản .NET framework và DirectX được cài đặt trên máy tính.

Nhấp vào menu System Folders để xem vị trí của các thư mục trên hệ điều hành bao gồm: Windows, Desktop, Programs, My Documents, Favorites, Startup, Recent, SendTo, Start Menu, My Music, My Pictures, AppData, System32, Program Files, v.v. Tùy chọn này rất có ích trong trường hợp bạn đã chuyển một số thư mục mặc định sang ổ đĩa khác và không nhớ.

Tab thứ hai trong GFXplorer là CPU, RAM, MB liệt kê các thông tin kỹ thuật liên quan đến bộ xử lý của bạn, tốc độ xung nhịp, loại đầu cắm, lõi, bộ nhớ đệm. Nhấp vào biểu tượng mũi tên trong phần CPU để tìm kiếm bộ xử lý của bạn trên nhà sản xuất (Intel hoặc AMD). Phần RAM hiển thị tổng bộ nhớ và bộ nhớ trống hiện tại có sẵn để sử dụng. Menu thả xuống liệt kê từng chip bộ nhớ mà bạn đã cài đặt trên máy tính.

Thông tin về Bo mạch chủ (mainboard) và BIOS được hiển thị trong phần cuối cùng của tab này. Sử dụng thông tin để kiểm tra loại RAM, loại CPU và ổ cắm, phiên bản BIOS.

Tab Video, Audio, Drives giúp xem card đồ họa của bạn (tích hợp hoặc bên ngoài), phiên bản driver GPU, card âm thanh. Nó cũng có thể được sử dụng để lấy thông tin độ phân giải màn hình của bạn (hỗ trợ nhiều màn hình). Mục này cũng giúp kiểm tra các ổ đĩa trên máy tính của bạn.

Tab Tools là một phần bổ sung. Nó gồm tập hợp các phím tắt để mở các tiện ích như DirectX Diagnostic Tool, System, Registry Editor, WinVer, Malware Removal Tool, Problems Steps Recorder, Display, Computer Management, Disk Cleanup, Event Viewer, Performance Monitor, Local User and Groups manager, Shared Folders, Task Scheduler, Disk Management,…

Mỗi khi cần kiểm tra hệ thống, GFXplorer là một tiện ích rất tiện dụng và miễn phí. Chương trình có sẵn phiên bản portable chỉ nặng khoảng 350KB khi giải nén.

Trang chủ ứng dụng: http://www.xtreme-lab.net/

Nếu bạn chưa biết về cookie thì đây là một khái niệm khá phổ biến trên các trình duyệt nhằm chỉ những mục thông tin nhỏ thường được các trang web sử dụng để phân biệt người dùng này với người dùng khác, cung cấp tính liên tục trên web, theo dõi các phiên duyệt trên các trang web khác nhau, phục vụ nội dung được cá nhân hóa,…

Malware mới này được các nhà nghiên cứu của Kaspersky gọi là “Cookiethief”. Chúng hoạt động âm thầm lấy và chuyển cookie đánh cắp được trên máy nạn nhân sang máy chủ của hacker. “Phần mềm độc hại có thể đánh cắp các tập tin cookie của bất kỳ trang web nào từ các ứng dụng theo cùng một cách.” Kaspersky cho biết.

Việc lưu trữ cookie trên thiết bị cho phép người dùng đăng nhập vào một dịch vụ một cách tự động mà không cần phải nhập đi nhập lại thông tin tài khoản. Cookiethief ra đời với mục đích khai thác chính thông tin này để cho phép kẻ tấn công truy cập trái phép vào tài khoản nạn nhân mà không cần biết mật khẩu tài khoản trực tuyến thực sự của họ.

Các nhà nghiên cứu cho biết: “Bằng cách này, một hacker có được cookie có thể tự biến mình thành vai trò của nạn nhân và sử dụng tài khoản sau này để trục lợi cá nhân”.

Nếu bạn biết về kỹ thuật, bạn sẽ nghĩ Facebook có các biện pháp bảo mật nhằm chặn mọi nỗ lực đăng nhập đáng ngờ, như dựa vào địa chỉ IP, thiết bị và trình duyệt chưa từng được sử dụng để đăng nhập vào nền tảng trước đây.

Nhưng hacker đã hơn một bậc khi tận dụng một phần mềm độc hại có tên ‘Youzicheng’, nó có tác dụng tạo ra một máy chủ proxy trên thiết bị bị nhiễm để mạo danh vị trí địa lý của chủ tài khoản, do đó việc truy cập Facebook của hacker được thực hiện như trên máy của nạn nhân và Facebook không thể phát hiện.

“Bằng cách kết hợp hai kiểu tấn công này, hacker có thể giành quyền kiểm soát hoàn toàn tài khoản của nạn nhân và không gây nghi ngờ từ Facebook”, các nhà nghiên cứu Kaspersky lưu ý.

Hiện tại, Kaspersky mới chỉ ghi nhận khoảng 1.000 thiết bị được nhắm mục tiêu theo cách này. Tuy nhiên với cách thức hoạt động nguy hiểm như vậy thì bạn cũng cần hết sức lưu ý. Để an toàn trước các cuộc tấn công như vậy, Kaspersky khuyên người dùng nên chặn cookie của bên thứ ba trên trình duyệt trên điện thoại, và thực hiện xóa cookie một cách thường xuyên.

Các ứng dụng này đôi khi đã yêu cầu các quyền hạn cụ thể vượt quá những gì ứng dụng cần. Ví dụ: một ứng dụng quét vi-rút có thể đã yêu cầu quyền truy cập vào máy ảnh Android của bạn. Rõ ràng một ứng dụng quét tất cả file trên máy thì cần gì mà phải cho truy cập vào máy ảnh?

Vậy mà trong số 24 ứng dụng được liệt kê trong báo cáo, có sáu ứng dụng yêu cầu truy cập vào camera của người dùng và hai ứng dụng yêu cầu cho phép thực hiện cuộc gọi. 15 trong số các ứng dụng có thể truy cập vị trí GPS của người dùng và đọc dữ liệu trên thẻ nhớ, trong khi 14 ứng dụng có thể thu thập và trả lại chi tiết về lịch sử cuộc gọi và thông tin cấu hình mạng của người dùng. Một trong những ứng dụng có thể ghi lại âm thanh trên thiết bị, một ứng dụng khác có thể truy cập danh bạ của người dùng.

Sau khi cài đặt, các ứng dụng này có thể giao tiếp với một máy chủ trên mạng được kiểm soát bởi các nhà phát triển ứng dụng. Bằng cách truy xuất thông tin chi tiết về địa điểm và người dùng, rủi ro thấp nhất thì dữ liệu này sẽ được dùng để bán cho các nhà quảng cáo nhằm cá nhân hoá quảng cáo người dùng. Tuy nhiên các quyền hạn lớn hơn như cho phép thực hiện các cuộc gọi, quyền truy cập camera có thể sẽ gây nên thảm hoạ thật sự cho quyền riêng tư của người sử dụng.

Danh sách các ứng dụng bạn nên xoá nếu lỡ cài đặt

Google đã xóa tất cả 24 ứng dụng được đề cập khỏi Cửa hàng Google Play, nhưng bạn sẽ phải gỡ cài đặt chúng theo cách thủ công nếu đã lỡ cài đặt lên máy của mình. Danh sách bao gồm:

• Sound Recorder (100M)
• Super Cleaner (100M)
• Virus Cleaner 2019 (100M)
• File Manager (50M)
• Joy Launcher (10M)
• Turbo Browser (10M)
• Weather Forecast (10M)
• Candy Selfie Camera (10M)
• Hi VPN, Free VPN (10M)
• Candy Gallery (10M)
• Calendar Lite (5M)
• Super Battery (5M)
• Hi Security 2019 (5M)
• Net Master (5M)
• Puzzle Box (1M)
• Private Browser (500,000)
• Hi VPN Pro (500,000)
• World Zoo (100,000)
• Word Crossy! (100,000)
• Soccer Pinball (10,000)
• Dig it (10,000)
• Laser Break (10,000)
• Music Roam (1,000)
• Word Crush (50)

Nếu có nhiều tên app trùng lặp, bạn nên kiểm tra nhà phát triển xem có phải là những nhà phát triển này không:

• Tap Sky
• mie-alcatel.support
• ViewYeah Studio
• Hawk App
• Hi Security
• Alcatel Innovation Lab
• Shenzen Hawk

Chưa dừng lại, bạn nên trang bị thêm kiến thức này

Ngay cả khi bạn cảm thấy danh sách trên thật vô nghĩa, bạn không bài giờ cài đặt linh tinh như vậy. Vẫn chưa chắc đâu, đôi khi bạn đã vô tình cài một ứng dụng quen thuộc nào đó và đã vô tình cấp các quyền hạn hơi lớn cho chúng.

Trên thực tế Android đã có cấp cho bạn một trang để kiểm tra thật kỹ các quyền hạn đặc biệt của ứng dụng, nhưng có đến 99% người dùng hoàn toàn không quan tâm đến và đã vô tình cấp quyền hạn không mong muốn.

Để kiểm tra quyền hạn ứng dụng, bạn hãy vài Cài đặt > Quyền riêng tư > Trình quản lý quyền.

Danh sách các quyền hạn đặc biệt sẽ được liệt kê như bên dưới, mô tả cũng rõ ràng, bạn chỉ cần nhấp vào một mục để xem ứng dụng nào được cấp quyền. Ví dụ mình chọn là mic-rô.

Trong danh sách này, mình muốn bỏ quyền hạn của Mi TV Assistant nên mình chọn ứng dụng này.

Chọn Từ chối để tắt quyền này đi.

Hiện nay chợ ứng dụng Google Play đang rất loạn. Trước khi cài đặt một ứng dụng mới, bạn hãy thật cân nhắc xem ứng dụng đó có thực sự là cần thiết với bạn hay không. Ngoài ra bạn nên đọc thêm các bình luận, xem đánh giá người dùng về trải nghiệm ứng dụng. Và nếu đã chọn cài đặt, đừng quên kiểm tra quyền hạn thật kỹ nhé bạn!

Tham khảo: VPNPro

Phiên bản mới đã có một thiết kế giao diện hoàn toàn mới so với phiên bản cũ và trông hiện đại hơn hẳn so với “thế hệ 3”. Ngoài ra điểm nhấn quan trọng hơn nữa là Malwarebytes chiếm dụng RAM và CPU ít hơn phiên bản cũ khoảng 50%, rất hiệu quả.

Bản Malwarebytes 3.8.3

Bản Malwarebytes 4 mới ra mắt

Malwarebytes mới còn giới thiệu một công cụ mới được gọi là Katana. Nó sử dụng một số phương pháp đặc biện (thậm chí được cấp bằng sáng chế) để cải thiện việc phát hiện các mối đe dọa. Quá trình xác định mối đe dọa cũng đã được sắp xếp hợp lý với việc giảm 50% thời gian CPU nói trên kèm theo việc quét nhanh hơn.

Qua trải nghiệm, mình thấy Malwarebytes 4.0 quét nhanh thật sự và chiếm dụng rất ít CPU. Khi bấm Scan thì mình chỉ tốn vài phút để có kết quả. Và kết quả quét ra có vẻ khá nhiều, thông tin về các mối đe doạ cũng rõ ràng.

Các cải tiến khác bao gồm cài đặt tích hợp Windows Security Center được đơn giản hóa (xem Cài đặt > Bảo mật) và công nghệ bảo vệ web nâng cao để chặn các trang web độc hại tiềm ẩn.

Cũng như các phiên bản trước, phiên bản miễn phí của phần mềm chỉ cung cấp khả năng quét và xóa. Người dùng có thể nâng cấp lên phiên bản Premium để thêm bảo vệ theo thời gian thực.

Hiện tại Malwarebytes vẫn đang được xếp trong top các ứng dụng quét các mối đe doạ tốt nhất trên Windows 10. Một trong những ưu điểm chính của nó được thiết kế để chạy cùng với các công cụ chống phần mềm độc hại khác, cung cấp một lớp bảo vệ thứ hai.

Nếu chỉ dành để quét các mối đe doạ thông thường, phiên bản miễn phí là đủ dùng cho bạn. Bản Premium cho bạn thêm các tính năng nâng cấp như quét tự động, kiểm soát các mối đe doạn nền web, bảo vệ máy tính trước ransomware,…

Tải ứng dụng Malwarebytes 4.0 về tại đây.

Theo chia sẻ của Avast thì 26 ứng dụng được nhắc đến đã bị Google xoá khỏi chợ ứng dụng Play Store, tuy nhiên không có gì đảm bảo là những ứng dụng còn lại là an toàn, có thể vẫn còn đến hàng ngàn ứng dụng có chứa mã độc nhằm ghi nhận hành vi người dùng hay đơn giản là hiện quảng cáo trên máy người dùng nhằm kiếm tiền online.

Phần lớn các ứng dụng này được xây dựng dựa trên nền tảng Cordova. Đây là một framework phát triển ứng dụng di động nổi tiếng (trước đây có tên là PhoneGap). Điểm mạnh của Cordova là một nền tảng để xây dựng những ứng dụng di động (hybrid mobile applications) sử dụng HTML, CSS và Javascript. Những ứng dụng này có thể chạy trên nhiều nền tảng khác nhau như Android, iOS, Windows Phone… dựa trên các API để giao tiếp với thiết bị. Chính vì vậy các đối tượng lừa đảo có thể tận dụng nền tảng này để phát triển các ứng dụng nền web thực hiện được một số tác vụ cơ bản, chẳng hạn như tra cứu giá tiền điện tử, chuyển đổi tiền tệ, thời tiết,… Theo ước tính đã có hàng ngàn lượt tải xuống từ các ứng dụng chứa mã độc quảng cáo này và đối tượng đăng ký với nhiều tên nhà phát triển khác nhau nhằm tránh bị “quét” đồng loạt.

Nhằm mục đích “nằm vùng” khá lâu trong máy người dùng, các ứng dụng chứa “mã độc” này sau khi được tải về và chạy lần đầu tiên, ứng dụng sẽ tự xóa biểu tượng ứng dụng ngoài màn hình chính, điều này là người dùng thông thường càng khó có thể tìm xoá và các ứng dụng dạng này.

Sau khi được khởi chạy lần đầu như vậy, các ứng dụng này sẽ bắt đầu kích hoạt các API nhằm hiển thị quảng cáo, thậm chí có thể hiển thị trên màn hình khoá. Nguye hiểm hơn, các ứng dụng này còn thu thập thông tin trên máy người dùng như unique identifier, tên app package, phiên bản Android đang dùng,… Tất cả các thông tin sẽ được tự động gửi đến một máy chủ từ xa, và trong một số trường hợp thì một số ứng dụng còn có khả năng kết nối tới một máy chủ khác và cài thêm một số ứng dụng bổ sung. Nhiều ứng dụng bị phát hiện có chứa mã độc và bị chấm điểm đánh giá vô cùng thấp. Tuy nhiên các ứng dụng này cũng có một lượng được đánh giá 5 sao, mà theo Avast đó là các lượt đánh giá giả mạo.

Mặc dù Google đã loạt bỏ các ứng dụng mà Avast thông báo nhưng bạn hãy luôn cẩn thận khi cài các ứng dụng lạ trên chợ ứng dụng này kẻo trở thành đối tượng để kẻ gian trục lợi.

Tham khảo Softpedia

Mã độc này có tên là RottenSys và nó giả làm ứng dụng System Wi-Fi service, được cài sẵn trong hàng triệu điện thoại mới của các thương hiệu như Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE. Người ta cho rằng nó được lén cài vào đâu đó trong chuỗi cung ứng.

Đáng chú ý, tất cả các mẫu điện thoại bị nhiễm mã độc này đều được vận chuyển thông qua Tian Pai, một nhà phân phối điện thoại di động ở Hàng Châu, Trung Quốc. Tuy nhiên, các nhà nghiên cứu không chắc công ty này có liên quan trực tiếp đến chiến dịch lây nhiễm mã độc này hay không.

Theo Check Point Mobile Security Team, đội ngũ phát hiện ra chiến dịch lây nhiễm mã độc vào điện thoại này, thì RottenSys là một mã độc khá “độc”. Nó không cung cấp bất kỳ dịch vụ gì liên quan đến vấn đề an toàn cho kết nối Wi-Fi như cái tên giả mạo, thay vào đó nó sử dụng gần như tất cả các quyền truy cập nhạy cảm trong hệ điều hành Android để thực hiện các hoạt động mờ ám.

Để tránh bị phát hiện, ứng dụng mã độc giả làm System Wi-Fi service này ban đầu không có bất kỳ thành phần mã độc nào và cũng không lập tức thực hiện hành vi độc hại nào. Thay vào đó, RottenSys được thiết kế để liên lạc với các server ra lệnh và điều khiển (Command & Control) của nó để tải về các thành phần cần thiết, và tất nhiên trong đó mới là mã độc thật sự.

Ngay cả công đoạn tải về và cài đặt các thành phần mã độc này cũng được RottenSys cẩn thận sử dụng quyền DOWNLOAD_WITHOUT_NOTIFICATION, giúp nó không cần bất kỳ sự tương tác nào của người dùng để thực hiện. Ở thời điểm hiện tại, chiến dịch này đang đẩy phần mềm quảng cáo đến tất cả các thiết bị lây nhiễm, liên tục hiển thị quảng cáo trên homescreen của điện thoại cũng như các cửa sổ pop-up và quảng cáo toàn màn hình, để gian lận doanh thu quảng cáo.

Theo các nhà nghiên cứu thì chỉ trong 10 ngày nó đã hiển thị hơn 13 triệu lượt quảng cáo, một con số khá ấn tượng trong ngành công nghiệp quảng cáo. Và hơn 500 ngàn trong số đó đã thu hút người sử dụng nhấn vào, mang lại cho tác giả của nó hơn 100 ngàn USD.

Chỉ trong 10 ngày, tác giả của RottenSys đã thu về hơn 100 ngàn USD từ quảng cáo

Tuy nhiên kẻ tấn công dường như đang âm mưu một thứ gì đó gây thiệt hại lớn hơn chứ không chỉ đơn thuần là hiển thị quảng cáo không mong muốn, vì RottenSys được thiết kế để tải về và cài đặt các thành phần mới từ C&C của nó, nên kẻ tấn công có thể dễ dàng vũ khí hóa nó hoặc chiếm quyền điều khiển của hàng triệu thiết bị lây nhiễm. Điều tra ban đầu đã cho thấy một số bằng chứng những kẻ tấn công bằng RottenSys đã bắt đầu biến hàng triệu thiết bị lây nhiễm này thành một mạng botnet khổng lồ.

Nguy hiểm hơn, đây không phải là lần đầu các nhà nghiên cứu của CheckPoint phát hiện ra điện thoại của nhiều thương hiệu hàng đầu bị lây nhiễm mã độc từ chuỗi cung ứng. Năm ngoái họ từng phát hiện hàng loạt các smartphone của nhãn hàng Samsung, LG, Xiaomi, Asus, Nexus, Oppo, và Lenovo, bị lây nhiễm bởi hai mã độc được cài sẵn trên điện thoại là Loki Trojan và phần mềm tống tiền SLocker, được thiết kế để theo dõi người sử dụng.

Cách phát hiện và gỡ bỏ mã độc RottenSys?

Để kiểm tra liệu điện thoại của bạn có bị nhiễm bởi mã độc RottenSys nói trên, bạn cần vào System Settings của máy, tìm đến App Manager và tìm kiếm các gói mã độc theo danh sách bên dưới:

• com.android.yellowcalendarz (每日黄历)
• com.changmi.launcher (畅米桌面)
• com.android.services.securewifi (系统WIFI服务)
• com.system.service.zdsgt

Nếu phát hiện bất kỳ cái tên nào trong danh sách này, bạn chỉ cần tiến hành uninstall nó là được.

Theo The Hacker News

Thông tin này được trang Malwarebytes công bố, cho thấy những kẻ lừa đảo đã có một trò lừa đảo mới khá tinh vi từ lỗi của trình duyệt Google Chrome. Nhà nghiên cứu Jerome Segura của Malwarebytes cho biết lỗi khai thác này lợi dụng giao diện Blob và msSaveBlob được thiết kế cho phép lưu file lên máy tính của người dùng.

Để thực hiện hành vi xấu xa trót lọt, kẻ lừa đảo sẽ sử dụng một trang web hiển thị bảng thông tin hỗ trợ kỹ thuật giả mạo để đánh lừa người dùng, hoặc tinh vi hơn là thông qua mã độc quảng cáo. Khi người dùng truy xuất vào sẽ kích hoạt một loạt hoạt động tải file về, khiến việc sử dụng CPU và bộ nhớ tăng vọt gây treo trình duyệt Google Chrome. Đáng nói là lỗi này ảnh hưởng đến phiên bản Chrome 64.0.3282.140, ở thời điểm bài viết thì đây là phiên bản Chrome 64 bit mới nhất được Google phát hành.

Thật may là giải pháp lừa đảo tinh vi của chúng có thể dễ dàng loại trừ bằng các công cụ chặn quảng cáo. Hơn nữa, nếu các hoạt động tải về được kích hoạt gây treo trình duyệt, người dùng vẫn có thể vào Windows Task Manager và “end process” của trình duyệt đi.

Vấn đề ở chỗ, bản thân Chrome có một giới hạn trong phần tải file về, thường yêu cầu người dùng xác nhận khi họ tải nhiều file cùng một lúc. Tuy nhiên, theo nhà nghiên cứu Segura thì hành vi lén lút này xảy ra quá nhanh đến mức bảng thông báo hỏi người dùng không kịp xuất hiện thì trình duyệt đã treo ngay trước đó. Thực tế, nhóm nghiên cứu không thấy bất kỳ thông báo nào hiện lên để báo cho họ biết về các hoạt động tải file hàng loạt này.

Ở khía cạnh khác, Windows Defender sắp có bản cập nhật mới, được thiết kế để gỡ bỏ các ứng dụng có động thái hù dọa người dùng như trong trường hợp này. Thế nhưng vì bản cập nhật này chưa được tung ra nên không rõ “hàng phòng thủ của Windows” có kịp xử lý các tác vụ này trước khi file được tải về hay không. Google hiện đã xác nhận lỗi này và dự kiến sẽ có bản vá lỗi trong thời gian tới.

Theo Malwarebytes

Bạn tải Acronis Ransomware Protection tại đây (dung lượng 19 MB) và tương thích Windows 7 Service Pack 1 trở lên.

1. Ransomware là gì:

Ransomware là loại malware tống tiền, nó sử dụng một hệ thống mật mã để mã hóa dữ liệu trên máy tính và đòi tiền chuộc thì mới khôi phục lại. Loại malware này đã hoành hành trong năm 2017 với tên gọi WannaCry chắc hẳn bạn đã biết và nghe qua.

2. Sử dụng:

Sử dụng Acronis Ransomware Protection cần có tài khoản. Khi cài đặt xong, bạn sẽ thấy giao diện yêu cầu đăng nhập. Nếu chưa có, bấm I don’t have an account yet để đăng ký. Acronis sẽ gửi email tới họp thư và bạn cần kích hoạt tài khoản để sử dụng chức năng sao lưu với 5 GB miễn phí.

Acronis Ransomware Protection sẽ giới thiệu các chức năng trong lần đầu sử dụng. Phần mềm sẽ giám sát mọi tiến trình hoạt động trên máy tính và hiển thị những tiến trình đáng ngờ (Suspicious) mà bạn có thể chặn hay tin tưởng chúng.

Bấm Manage processes để xem các tiến trình đáng ngờ, nếu tiến trình có trong danh sách là tin cậy bạn hãy đánh dấu tin tưởng để phần mềm bỏ qua. Bấm lên tiến trình > Trust. Còn ngược lại thì Block để chặn tiến trình đó hoạt động. Bạn có thể quản lý và thêm những tiến trình thực thi khác (bin, cmd, com, cpl, dll, exe) bằng cách bấm Add an application.

Nếu có tiến trình đáng ngờ cố gắng mã hóa các tập tin hoặc chèn mã độc hại vào hệ thống, Acronis Ransomware Protection sẽ ngăn chặn và thông báo ngay lập tức đến cho bạn. Bạn có thể biết sức khỏe máy tính qua biểu đồ thời gian trên giao diện. Nếu thấy một dãi xanh thì máy tính bạn đang an toàn chưa nhiễm mã độc hại. Còn nếu thấy dấu đỏ chứng tỏ dữ liệu trên máy đã dính ransomware.

3. Sao lưu dữ liệu:

Acronis Ransomware Protection hỗ trợ khôi phục các tập tin nếu dữ liệu bị ransomware mã hóa. Acronis phục hồi các tập tin từ cache, các tập tin tạm thời hoặc sao lưu.

Tuy nhiên, “phòng bệnh còn hơn chữa bệnh” và Acronis Ransomware Protection cung cấp cho bạn một không gian lưu trữ với 5 GB miễn phí để sao lưu các dữ liệu quan trọng.

Bạn chỉ cần kéo thả file hay thư mục file vào khung Drop your folder… hay bấm add them manually để chọn. Quá trình sao lưu sẽ diễn ra ngay sau đó, bạn bấm nút bánh răng cưa để quản lý các file sao lưu hay thêm mới (kéo thả hay chọn với Add a folder). Để tải về các file sao lưu, bạn bấm Browse hay truy cập https://cloud-wr-ru2.acronis.com/.

Malware là một khái niệm rộng hơn virus rất nhiều. Malware có thể bao gồm viruses, adware, nagware, spyware, worms, trojan horses, và rất nhiều loại phần mềm độc hại khác. Điều này có nghĩa virus và trojan horse là hai loại hình trực thuộc malware. Có rất nhiều ứng dụng diệt malware cho máy tính (các ứng dụng diệt virus cũng có hỗ trợ) tuy nhiên mình lọc ra hai ứng dụng mình cho là tốt nhất dựa theo các tiêu chí: cập nhật mẫu malware thường xuyên, miễn phí, đơn giản).

Malwarebytes Anti Malware

Malwarebytes Anti Malware là ứng dụng diệt malware được rất nhiều người sử dụng và cài đặt song song với một ứng dụng antivirus nào đó. Malwarebytes có thể loại bỏ các phần mềm độc hại, phần mềm gián điệp mà các chương trình antivirus có thể đã bỏ lỡ, loại bỏ rootkit và sửa chữa các tập tin do các thành phần độc hại làm hỏng.

Điểm mạnh của Malwarebytes Anti Malware là quét rất nhanh, cập nhật các mẫu malware rất thường xuyên và có cả phiên bản miễn phí cho người dùng. Nếu bạn dùng phiên bản tính phí, Malwarebytes Anti Malware có thêm tính năng giám sát tất cả những hoạt động có thể gây hại tới máy tính của bạn. Chế độ bảo vệ liên tục giúp bạn luôn giữ cho hệ thống được an toàn. Hơn nữa dữ liệu được cập nhật hằng ngày để phát hiện và ngăn chặn những mối nguy hiểm malware mới nhất.

Hiện nay Malwarebytes còn vừa ra mắt phiên bản bảo vệ trình duyệt dữ liệu hoàn toàn miễn phí, bạn có thể tham khảo thêm bài viết Malwarebytes bảo vệ Firefox khỏi các trang web độc hại, lừa đảo.

EMCO Malware Destroyer

Trước giờ mình xài Malwarebytes quen rồi nhưng gần đây mình thử qua EMCO Malware Destroyer và thấy ứng dụng này rất tốt, không hề thua kém Malwarebytes đồng thời được cung cấp hoàn toàn miễn phí. Phần mềm này nhanh chóng phát hiện ra các mối nguy hại ảnh hưởng đến hệ thống và cho phép bạn tùy chọn xử lý chúng, chính nhờ vậy EMCO Malware Destroyer sẽ mang lại môi trường hoạt động an toàn cho máy tính của bạn.

Theo tìm hiểu của mình thì EMCO Malware Destroyer đã có thể diệt được hơn 10.000 mẫu malware khác nhau và vẫn luôn cập nhật hàng ngày. Giao diện của EMCO Malware Destroyer cực kỳ đơn giản, cứ việc mở ứng dụng lên và bấm quét, sau đó xử lý sao tùy ý bạn chọn lựa.

Thay vì cài tùm lum, bạn có thể chọn một trong hai phần mềm diệt malware tốt nhất và miễn phí cho máy tính này. Hy vọng bài viết sẽ đem đến cho bạn các thông tin hữu ích. Chúc bạn thành công.

Có thể nói virus được xem là một nhóm thuộc malware để cho bạn thấy độ rộng của malware. Phạm vi của Malware có thể bao gồm spyware, adware, trojan, worm,… và dĩ nhiên là gồm cả virus. Tuy nhiên, có thể là vì một vài năm trước đây các loại virus (và thường là cả trojan, worm) thường được… đề cập đến nhiều hơn nên phần lớn các công ty cung cấp sản phẩm bảo mật có xu hướng tập trung chiến lược marketing của mình vào các sản phẩm này. Cùng với việc khả năng lây lan và phát tán nhanh của virus khiến chúng dễ dàng xâm nhập máy của một lượng lớn người dùng phổ thông, định hướng cho một dòng sản phẩm chuyên biệt với tên gọi “antivirus” dần dần hình thành.

Malware có thể bao gồm viruses, adware, nagware, spyware, worms, trojan horses, và rất nhiều loại phần mềm độc hại khác. Điều này có nghĩa virus và trojan horse là hai loại hình trực thuộc malware. Do vậy, nếu bạn muốn phân biệt malware và virus, nó giống như việc bạn phân biệt giữa “vũ khí” và “khẩu súng” vậy. malware sẽ bao hàm luôn virus nhé bạn.

Tuy nhiên nói đến đây thì bạn sẽ thắc mắc, không lẽ các ứng dụng diệt malware như Malwarebytes lại tốt hơn ứng dụng diệt virus (như Kaspersky, Avast!,…) vì malware lớn hơn virus mà? Trên thực tế các ứng dụng diệt virus cũng bao hàm diệt luôn nhiều loại malware, nhưng do quảng cáo quen là ứng dụng diệt virus (người dùng cũng nghe quen như vậy) nên “cứ vậy mà tiến” thôi. Còn Malwarebytes thì thực tế chỉ diệt một số chủng loại malware nhất định và thường là các loại không được các ứng dụng antivirus chú ý.

Loại malware này sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại. Một trong những đại diện nổi tiếng nhất của loại malware này có tên là CryptoLocker, nó sẽ tiến hành “bắt cóc” dữ liệu của người dùng làm con tin và đòi họ chi trả hàng trăm USD để “chuộc” lại chúng.

Giống như các phần mềm độc hại khác, Ransomware có thể xâm nhập vào máy tính của người sử dụng khi người dùng tìm và dùng các phần mềm crack; bấm vào quảng cáo; truy cập web đen, đồi trụy; truy cập vào website giả mạo; tải và cài đặt phần mềm không rõ nguồn gốc; file đính kèm qua email spam…

Sau khi xâm nhập vào máy tính, nó sẽ tiến hành mã hóa dữ liệu của bạn nhưng không yêu cầu bạn đưa ra tiền chuộc ngay, mà nó sẽ đưa ra cho bạn danh sách các phần mềm để bẻ khóa dữ liệu khi bạn tiến hành tìm kiếm trên mạng. Tất nhiên các phần mềm này đều có phí.

Nhiều ransomware được ngụy trang khá tốt. Đôi khi nó còn được gọi là “scareware” bởi chúng sẽ đưa ra những cảnh báo giả cho người dùng như “Máy tính của bạn đã bị nhiễm malware, hãy mua phần mềm [xxx] để tiến hành loại bỏ malware này” hoặc “Máy tính của bạn đã được sử dụng để tải về các dữ liệu vi phạm pháp luật, hãy nộp phạt để có thể tiếp tục sử dụng máy tính”.

Một số trường hợp khác, ransomware sẽ trực tiếp nêu lên vấn đề cho bạn. Chúng sẽ thâm nhập sâu vào bên trong hệ thống của máy rồi hiển thị một thông báo rằng chúng sẽ chỉ biến mất khi bạn trả tiền cho tác giả của ransomware đó. Kiểu phần mềm độc này có thể bị trị bằng các công cụ gỡ bỏ mã độc hoặc cài lại Windows.

Làm sao để tự bảo vệ bản thân khỏi ransomware? Rất đơn giản, người dùng nên tuân theo những lời khuyên sau đây:

– Cài đặt và thường xuyên nâng cấp một phần mềm diệt virus trên máy tính.

– Đảm bảo Windows và mọi phần mềm đang sử dụng trên máy tính đều thường xuyên được nâng cấp để vá lại các lỗ hổng bảo mật.

– Tuyệt đối không kích vào các đường link khả nghi, dù được gửi đến từ người quen (bởi lẽ tài khoản của họ có thể đã bị hacker chiếm đoạt hoặc tự động phát tán đường link có chứa mã độc). Nhìn chung, nếu không chắc chắn về các trang web, tuyệt đối không mở chúng.

– Tuyệt đối không mở các file đính kèm được gửi đến từ những người không quen biết hoặc không tải các file từ các trang web không rõ nguồn gốc.

– Thường xuyên sao lưu những dữ liệu quan trọng trên máy tính ra các thiết bị lưu trữ bên ngoài hoặc các dịch vụ lưu trữ đám mây.