Dưới đây là các sự kiện bảo mật nổi bật trong tháng 9/2015, do Dr.Web tổng hợp.
Người dùng iOS có thể bị ăn cắp mật khẩu
Kho ứng dụng Apple App Store được bảo mật rất tốt và qua nhiều lớp kiểm soát, nên các ứng dụng được đưa lên App Store để người dùng tải về đa số đều an toàn và “sạch sẽ”.
Tuy vậy, tháng 9/2015 vừa qua, kẻ xấu đã lợi dụng được kẽ hở để tấn công vào kho ứng dụng này.
Biết chắc rất khó tấn công trực diện vào App Store hay tải phần mềm gián điệp lên kho ứng dụng của Apple, hacker đã tấn công vào lập trình viên, những người viết ứng dụng để đưa lên App Store cho người dùng thiết bị Apple tải về.
Thông thường, để viết ứng dụng cho thiết bị dùng iOS, các lập trình viên phải dùng một công cụ có tên Xcode. Các lập trình viên kỹ tính sẽ tải Xcode từ chính website của Apple, nhưng có nhiều lập trình viên sẽ tải từ các nguồn khác được chia sẻ trên mạng.
Tại Trung Quốc, theo các nguồn tin báo chí phương Tây, internet bị kiểm soát chặt chẽ nên việc tải file từ các nguồn bên ngoài quốc gia này sẽ khó khăn, do đó các lập trình viên có thể đã tải Xcode trên các trang chia sẻ nội bộ.
Các chuyên gia bảo mật phát hiện ra rằng, một trong các bản Xcode lưu trữ trên các trang chia sẻ ở Trung Quốc được cài sẵn phần mềm độc hại.
Do đó, khi sử dụng bản Xcode này để lập trình, phần mềm độc hại sẽ lây vào ứng dụng mà lập trình viên viết, do đó khi lập trình viên tải phần mềm này lên App Store thì bản thân phần mềm này đã nhiễm trojan có tên IPhoneOS.Trojan.XcodeGhost và vượt qua được quy trình kiểm tra của Apple.
Các chuyên gia bảo mật cho rằng hầu hết iPhone nhiễm phần mềm độc hại đều ở Trung Quốc.
Khi một ứng dụng có nhúng IPhoneOS.Trojan.XcodeGhost được khởi động, trojan bắt đầu thu thập thông tin về các thiết bị bị nhiễm (bao gồm loại thiết bị, tên model và UUID, ngôn ngữ hệ thống hiện tại và dữ liệu về các nhà điều hành mạng) gửi về máy chủ kiểm soát.
Tuy nhiên, mối đe dọa chính của IPhoneOS.Trojan.XcodeGhostlies là có thể hiển thị các hộp thoại giả để thực hiện các cuộc tấn công lừa đảo, tự động mở các liên kết của tội phạm mạng và thậm chí ăn cắp mật khẩu từ clipboard (bộ nhớ sao chép tạm) của người dùng.
Trojans mục tiêu ngân hàng
Trong tháng vừa qua, tội phạm mạng tiếp tục nhắm vào các chủ sở hữu của các thiết bị Android để ăn cắp tiền của họ.
Đặc biệt, vào đầu tháng này, các chuyên gia bảo mật Dr.Web đã đăng ký thử nghiệm một chiến dịch SMS spam hướng đến những người dùng đặt quảng cáo trên một số tài nguyên Internet.
Cần lưu ý rằng trong một số trường hợp các nạn nhân đã được chào mời bằng đúng tên của họ, dễ chiếm lòng tin nạn nhân.
Nếu người dùng thực sự mở ra các liên kết từ một tin nhắn như vậy, Android.SmsBot.459.origin được thiết kế để ăn cắp tiền từ tài khoản ngân hàng của người sử dụng đã được tải về trên thiết bị di động.
Trojan cấy trực tiếp trên hệ điều hành Andorid
Giữa tháng 09 chứng kiến một trường hợp firmware Android bị nhiễm Trojan. Một chương trình độc hại có tên Android.Backdoor.114.origin đã được cài vào một phiên bản hệ điều hành Android lưu hàng trên mạng.
Do trojan được tích hợp trực tiếp vào firmware điện thoại nên gần như không thể loại bỏ mã độc bằng cách sử dụng các công cụ thông thường.
Để có thể thoát khỏi mã độc này, người sử dụng cần phải có quyền root thiết bị, sẽ rất khó (hoặc thậm chí nguy hiểm đến thiết bị) để thực hiện. Một cách khác là cài đặt lại hệ điều hành.
Mục đích chính của Android.Backdoor.114.origin là lén lút tải về, cài đặt và gỡ bỏ các ứng dụng. Hơn nữa, các trojan có thể lấy một thông tin toàn diện của thiết bị máy về máy chủ kiểm soát.
Trojan tống tiền
Vào tháng 9/2015, một số công ty chống virus báo cáo về phát hiện của một trojan ransomware nhắm vào Android (các chuyên gia Dr.Web đặt tên Android.Locker.148.origin).
Trojan sử dụng các phương pháp mới chiếm quyền quản trị và thiết lập mở khóa mật khẩu trên thiết bị di động bị xâm nhập.
Sau một vài thủ thuật, các trojan sẽ có thể tự động khóa điện thoại mà không sự đồng ý của người dùng, người dùng phải trả một khoản tiền chuộc để có được mật khẩu mở khóa thiết bị.
