Giả cảnh sát nhắn tin đòi tiền chuộc

Trong tháng 4/2014, Kaspersky Lab đã phát hiện một chiến dịch độc hại, trong đó hacker sử dụng phần mềm tống tiền trên điện thoại di động (ransomeware) với tên gọi Koler “police” (cảnh sát) đối với các thiết bị Android.

Các gói dữ liệu độc hại tự động được tải về điện thoại Android khi người dùng truy cập vào một số trang web có nội dung không lành mạnh. Các trang web này chuyển tiếp người dùng đến yêu cầu cài đặt một gói phần mềm để xem video. Để đối phó với việc bị Koler tống tiền, người dùng Android phải luôn cảnh giác khi tải các ứng dụng trên mạng.

Những kẻ đứng sau các cuộc tấn công này âm mưu sử dụng một chương trình bất thường để quét thiết bị của nạn nhân, và linh hoạt cung cấp phần mềm tống tiền tùy thuộc vào vị trí và loại thiết bị - điện thoại di động hoặc máy tính.

Sau khi khóa thiết bị từ xa, hacker sẽ gửi tin nhắn đòi tiền chuộc.

Bước tiếp theo, chúng sẽ tiến hành chuyển hướng dữ liệu của nạn nhân sau khi nạn nhân truy cập vào 1 trong số 48 trang web khiêu dâm hay trang web độc hại bất kỳ được vận hành bởi những kẻ tạo ra Koler.

Những trang web khiêu dâm sẽ chuyển hướng người dùng đến các trung tâm hệ thống phân phối lưu lượng sử dụng Keitaro (TDS) và tiếp tục chuyển hướng người dùng một lần nữa. Tùy thuộc vào một số điều kiện, việc chuyển hướng lần thứ 2 này có thể dẫn đến ba trường hợp nhiễm độc khác nhau, như sau:

Cài đặt các ransomware Koler trên di động: Trong trường hợp điện thoại di động cho phép các trang web tự động chuyển hướng người dùng đến các ứng dụng độc hại thì người dùng vẫn phải xác nhận việc tải xuống và cài đặt ứng dụng tên file là animalporn.apk. Đây thực sự là Koler ransomware. Nó sẽ khóa màn hình của thiết bị nhiễm độc và yêu cầu một khoản tiền chuộc từ 100 USD đến 300 USD để mở khóa. Các phần mềm độc hại sẽ hiển thị một tin nhắn giả danh từ cảnh sát địa phương.

Chuyển hướng đến một trang web ransomware bất kỳ: Một bộ điều khiển đặc biệt sẽ kiểm tra liệu người dùng có nằm trong danh sách 30 quốc gia bị ảnh hưởng bởi các tác nhân này hay không. Nếu bạn không phải là một người dùng Android và không sử dụng trình duyệt Internet Explorer thì không lo bị nhiễm mã độc trong trường hợp này. Chỉ có một cửa sổ pop-up hiển thị một mẫu thông báo chặn trên thiết bị di động. Và người dùng có thể dễ dàng tránh việc bị chặn chỉ với m thao tác đơn giản là nhấn tổ hợp phím Alt + F4.

Chuyển hướng đến một trang web có chứa Angler Exploit Kit: Đây là một phần mềm quảng cáo “đội lốt” một trình duyệt hữu ích, nhưng trên thực tế Angler Exploit Kit buộc bạn phải truy cập trang web và phát quảng cáo không đáng tin cậy, có thể chuyển hướng trình duyệt đến các trang web không mong muốn có chứa nhiều virus và phần mềm gián điệp. Angler Exploit Kit có thể tự nhân bản và lây nhiễm sang các file hệ thống. Nếu người dùng sử dụng trình duyệt Internet Explorer thì sẽ bị chuyển hướng đến những máy chủ của Angler Exploit Kit, được dùng để khai thác các thành phần Silverlight, Adobe Flash và Java.

Trong số gần 200.000 người truy cập vào những tên miền nhiễm độc trên điện thoại di động kể từ đầu chiến dịch, phần lớn sống tại Mỹ (146.650 người, chiếm 80%), tiếp theo là Anh (13.692), Australia (6.223), Canada (5.573), Saudi Arabia (1.975) và Đức (1.278).

Mỹ là khu vực có lượng người dùng bị chuyển hướng vào các trang web nhiễm độc cao nhất.

Kaspersky Lab đã chia sẻ những phát hiện của mình cho tổ chức Europol và Interpol cũng như đang hợp tác với các cơ quan thực thi pháp luật để tìm hiều về khả năng đóng cửa các cơ sở dữ liệu của những tên miền độc hại này.

Lời khuyên cho người dùng

- Bạn sẽ không bao giờ nhận được tin nhắn đòi tiệc chuộc từ cảnh sát, vì vậy không bao giờ trả tiền cho các tin nhắn này.

- Không cài đặt bất kỳ ứng dụng nào mà bạn tìm thấy trong quá trình duyệt web.

- Không truy cập vào trang web mà bạn không tin tưởng.

- Sử dụng một giải pháp chống virus đáng tin cậy.

Vicente Diaz, nhà nghiên cứu bảo mật chính của Kaspersky Lab nhận xét: “Điều đáng quan tâm nhất là mạng lưới phát tán được sử dụng trong chiến dịch. Hàng chục trang web tự động chuyển hướng truy cập tới một trung tâm phân tán lưu lượng, mà tại đó người dùng bị chuyển hướng một lần nữa. Chúng tôi tin rằng cơ sở dữ liệu này đã được tổ chức chặt chẽ và cực kỳ nguy hiểm. Những kẻ tấn công có thể nhanh chóng tạo ra cơ sở dữ liệu tương tự nhờ vào hệ thống tự động hóa, thay đổi việc tải dữ liệu hoặc nhằm vào nhiều đối tượng khác nhau. Những kẻ tấn công cũng đã nghĩ ra một số cách để kiếm lời từ các chiến dịch tấn công đa thiết bị”.