Theo Thehackernews, mã độc có tên RottenSys được ngụy trang dưới dạng một dịch vụ System Wi-Fi cài sẵn trên hàng triệu smartphone mới sản xuất bởi Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE… Tất cả những thiết bị bị ảnh hưởng này đều được vận chuyển qua Tian Pai - nhà phân phối điện thoại ở Hàng Châu (Trung Quốc).
Hãng nghiên cứu bảo mật Check Point ghi nhận RottenSys là một phần của phần mềm độc hại không cung cấp bất kỳ dịch vụ liên quan đến Wi-Fi an toàn nào nhưng hầu như tất cả các quyền truy cập Android nhạy cảm đều cho phép nó hoạt động.
“Dựa trên phát hiện của chúng tôi, phần mềm độc hại RottenSys bắt đầu lan truyền vào tháng 9.2016 đến 12.3.2018, với số thiết bị nhiễm độc lên đến 4.964.460 thiết bị”, các nhà nghiên cứu cho biết.
Để tránh phát hiện, ứng dụng System Wi-Fi giả mạo ban đầu không có thành phần độc hại và không bắt đầu bất kỳ hoạt động độc hại nào ngay lập tức. Thay vào đó, RottenSys đã được thiết kế để liên lạc với các máy chủ điều khiển và kiểm soát để có được danh sách các thành phần yêu cầu, chứa mã độc hại thực tế. RottenSys sau đó tải xuống và cài đặt mỗi ứng dụng cho phù hợp, sử dụng quyền DOWNLOAD_WITHOUT_NOTIFICATION không yêu cầu bất kỳ tương tác nào từ người dùng.
Ở thời điểm hiện tại, chiến dịch chống malware nói trên đã cung cấp một thành phần phần mềm quảng cáo tới tất cả các thiết bị nhiễm độc hiển thị quảng cáo trên màn hình chính thiết bị, như cửa sổ pop-up hoặc quảng cáo toàn màn hình tạo ra doanh thu quảng cáo lừa đảo.
Các nhà nghiên cứu cho biết: “Trong 10 ngày vừa qua, RottenSys là một mạng lưới quảng cáo cực kỳ hung hãn. Nó đã hiển thị đến 13.250.756 quảng cáo ép buộc - về cơ bản không thể tắt đi trước khi hết giờ.
Theo các nhà nghiên cứu của Check Point, phần mềm độc hại đã kiếm cho tác giả của chúng số tiền lên đến 115.000 USD trong 10 ngày. Vì RottenSys đã được thiết kế để tải xuống và cài đặt bất kỳ thành phần mới từ máy chủ C&C (điều khiển lệnh), kẻ tấn công có thể dễ dàng kiểm soát hàng triệu thiết bị bị nhiễm.
Cuộc điều tra cũng tiết lộ một số bằng chứng cho thấy kẻ phát tán RottenSys đã bắt đầu chuyển hàng triệu thiết bị bị nhiễm độc thành mạng botnet khổng lồ. Bên cạnh đó một số thiết bị cho phép kẻ tấn công thực hiện những khả năng sâu rộng hơn, bao gồm cài đặt ứng dụng bổ sung và tự động hóa giao diện người dùng (UI).
“Thật thú vị, một phần của cơ chế kiểm soát botnet được thực hiện trong các kịch bản có sẵn. Nếu không có sự can thiệp, những kẻ tấn công có thể sử dụng lại kênh phân phối malware hiện có và nắm quyền kiểm soát hàng triệu thiết bị”, Check Point cho biết.
Đây không phải là lần đầu tiên các nhà nghiên cứu của Check Point tìm ra những thương hiệu hàng đầu bị ảnh hưởng xuất phát từ chuỗi cung ứng. Năm ngoái, công ty đã phát hiện ra smartphone Samsung, LG, Xiaomi, Asus, Nexus, Oppo và Lenovo đã bị nhiễm hai phần mềm độc hại cài đặt sẵn (Loki Trojan và SLocker) được thiết kế để theo dõi người dùng.
Để kiểm tra xem thiết bị của bạn có bị nhiễm phần mềm độc hại này hay không hãy truy cập phần thiết lập hệ thống Android và vào trình quản lý ứng dụng, sau đó tìm các gói mã độc hại Com.android.yellowcalendar; Com.changmi.launcher; Com.android.services.securewifi; và com.system.service.zdsgt.