CHƯƠNG 1. TỔNG QUAN VỀ MÃ ĐỘC TRÊN HỆ ĐIỀU HÀNH ANDROID
1.2.3. Mã độc trên hệ điều hành Android
Cho đến thời điểm hiện nay, hệ điều hành Android liên tục cải thiện và phát triển không ngừng. Tuy nhiên, vẫn không thể tránh khỏi sự tấn công từ các mã độc tác động đến hệ thống và các khía cạnh khác, ảnh hưởng xấu đến người tiêu dùng. Một số mã độc phổ biến đã và đang xuất hiện trên các thiết bị mang hệ điều hành Android như:
- Shedun: Shedun là mã độc khét tiếng trên Android được phát hiện từ cuối năm 2015. Sau khi lây nhiễm vào máy, nó có khả năng tự động root thiết bị và tải về các quảng cáo. Nhiều trường hợp, Shedun xuất hiện trong các ứng dụng hợp pháp trên Play Store khiến cho người dùng rất khó khăn để phòng tránh. Mã độc này cũng từng được cài đặt sẵn trên một vài thiết bị có xuất xứ Trung Quốc.
- Godless: Godless được chèn vào các ứng dụng trên Play Store khiến cho khả năng người dùng vô tình cài đặt mã độc rất cao. Thậm chí khi đã xâm nhập vào máy, mã độc có khả năng lây nhiễm sang máy khác nếu người dùng không cẩn thận. Godless cũng có khả năng tự động root thiết bị mà không cần hỏi ý kiến của chủ nhân. Mã độc này xuất hiện trên các điện thoại và máy tính bảng chạy Android 5.1 trở xuống.
- Fake App ( Ứng dụng giả mạo): Các ứng dụng nổi tiếng luôn là mục tiêu để kẻ xấu lợi dụng vào việc lừa đảo. Chúng tạo ra hàng loạt ứng dụng có tên và hình ảnh gần giống với ứng dụng gốc. Điều này khiến cho người dùng không thể phân biệt đâu là ứng dụng thật sự họ cần. Trong số những ứng dụng giả mạo vô tác dụng, đôi khi còn kèm theo mã độc hết sức nguy hiểm. Điển hình nhất là ứng dụng hướng dẫn chơi Pokemon Go. Đã có hơn 500.000 thiết bị cài đặt ứng dụng này và cho phép quyền truy cập những thông tin nhạy cảm.
- Gunpoder: Gunpoder được chèn vào ứng dụng giả lập một số tựa trò chơi của Nintendo và phát hành bên ngoài Play Store. Nhiều người dùng vẫn ưu thích các game "bốn nút" xưa cũ và tìm đến những ứng dụng trôi nổi trên web.
Đây chính là cơ hội để Gunpoder lây nhiễm. Loại bỏ chúng ra khỏi thiết bị của mình là điều không hề dễ dàng đối với người dùng phổ thông. Vì vậy cách tốt nhất là phải phòng tránh lây nhiễm bằng việc cẩn thận khi cài đặt ứng dụng.
Người dùng cần xem xét thật kĩ đánh giá về ứng dụng, kể cả ứng dụng từ Play Store, đồng thời hạn chế tối đa việc cài ứng dụng từ tập tin APK trôi nổi trên web.
1.2.3.2. Cơ chế lây nhiễm, thực thi và ẩn mình của mã độc trên hệ điều hành Android
Phương thức lây nhiễm của mã độc trên hệ điều hành Android có tính đa dạng và phức tạp: Lây nhiễm người dụng dựa trên việc người dùng cài đặt các ứng dụng giả mạo, hoặc cái ứng dụng từ nguồn nguy hiểm không trực tiếp từ cửa hàng ứng dụng Google Play,…
Một số ứng dụng mang mã độc sau khi được người dùng cài vào điện thoại, các ứng dụng mang mã độc đó sẽ cài đặt một cửa hậu (backdoor), từ đó một số ứng dụng được tải xuống từ máy chủ do kẻ tấn công kiểm soát. Thậm chí một số mã độc trong các ứng dụng có khả năng thực thi các lệnh cao cấp, được quyền thiết lập mã độc lên hệ thống. Ngoài ra, backdoor còn có quyền truy cập vào những dữ liệu nhạy cảm, trong đó có cookie trình duyệt được sử dụng để đăng nhập tự động vào các trang web. Sau khi cài đặt xong, ứng dụng giả mạo sẽ biến mất khỏi màn hình chính và menu, người dùng chỉ có thể tìm thấy phần mềm này trong danh sách ứng dụng cài đặt ở phần cài đặt hệ thống.
1.2.3.3. Đặc điểm, dấu hiệu nhận biết điện thoại nhiễm mã độc
Mã độc có thể ẩn mình nhưng một số mã độc không tuyệt đối cũng có thể nhận biết được, vì thế người dùng có thể quan sát các đặc điểm bất thường của thiết bị, để biết dấu hiệu nhận biết thiết bị điện thoại của mình đang bị nhiễm mã độc cụ thể như:
Thiết bị di động sử dụng dữ liệu bất thường mang xu hướng cao, bởi vì các mã độc có thể sử dụng dữ liệu di động của thiết bị, chạy nền liên tục, nhằm mục đích thu thập các dữ liệu từ thiết bị di động của người dùng rồi chuyển dữ liệu chúng thu thập được về lại máy chủ đã được lập trình chỉ định chúng trước đó.
Pin hao hụt nhanh so với mức bình thường, là một trong những dấu hiệu mà người dùng có thể nhận biết để phát hiện được mã độc tồn tại trong thiết bị hay không, mã độc thường chạy ngầm trong các hệ thống thiết bị, người dùng có thể biết được ứng dụng nào trong thiết bị sử dụng dung lượng pin cao bất thường, để từ đó gỡ bỏ ngăn chặn mã độc tấn công.
Xuất hiện quảng cáo bất thường mang tính liên tục màn hình là dấu hiệu có thể điện thoại đã bị dính phần mềm độc hại. Để hạn chế bị lừa, không nên nhấp vào các cửa sổ quảng cáo hoặc thực hiện theo những bước hướng dẫn trên màn hình. Tương tự, đối với những quảng cáo giả mạo trên trình duyệt, bạn chỉ
thoại. Để hạn chế được tình trạng trên, đừng quên cập nhập tất cả các ứng dụng lên phiên bản mới nhất.
1.2.3.4. Đặc trưng của mã độc trên hệ điều hành Android.
- Cấp quyền, một số mã độc có thể yêu cầu người dùng cấp quyền truy cập vào dữ liệu cá nhân hoặc quyền truy cập cao trong hệ thống thông qua các ứng dụng, tuy nhiên một số mã độc khác thậm chí không cần sự cấp quyền từ người dùng, chỉ cần xuất hiện trong thiết bị điện thoại chúng đã có các quyền, các loại mã độc này cực kỳ nguy hiểm
- Mã độc có các hành vi trực tiếp hoặc gián tiếp gây thiệt hại cho người dùng, chúng có thể trực tiếp khiến người dùng mất đi dữ liệu hoặc dữ liệu bị đánh cắp, mất đi sự riêng tư của người dùng, chúng còn liên kết với bên thứ ba gián tiếp gây thiệt hại cho người dùng bằng cách chạy các quảng cáo trên nên liền tục.
1.2.3.5. Yêu cầu cấp thiết nghiên cứu kỹ thuật phát hiện và loại bỏ mã độc trên hệ điều hành Android
Hiện nay, công nghệ ngày càng phát triển, điện thoại di động trở thành một thành phần quan trọng trong cuộc sống. Đặc biệt, do giá thành hợp lý, nhiều loại sản phẩm trong các mức giá khác nhau, điện thoại Android đang được sử dụng phổ biến tại Việt Nam.
Mặt khác các ứng dụng trên điện thoại ngày càng phổ biến: từ mua sắm, chuyển tiền, giải trí, nhìn chung các lĩnh vực trong đời sống đang dần chuyển đổi số giúp người dân tiện lợi hoá chỉ trong một ứng dụng, như du lịch, đặt khách sạn, bên cạnh đó các dịch vụ y tế, giáo dục, các ứng dụng dịch vụ công như khai báo y tế, chứng nhận tiêm phòng,.. Trường hợp các ứng dụng này bị các cá nhân, tổ chức nặc danh mang mục đích xấu, giả mạo, hoặc truyền mã độc thì nguy cơ rất lớn, nguy cơ bị lộ mất dữ liệu cá nhân từ điện thoại là rất lớn thoả mãn mục đích của các kẻ tấn công. Bên cạnh đó sự nhạy cảm của vấn đề tấn công mã độc chính là gián điệp mạng mang nhiều nguy cơ tìm ẩn không thể nào lường trước được
Từ đó chúng ta có thể thấy rằng tầm quan trọng của việc nghiên nghiên cứu về mã độc và kỹ thuật phát hiện mã độc, nhầm tăng cao tối đa sự an toàn cho người dùng ở nhiều phương diện, không những thế việc nghiên cứu về mã độc và kỹ thuật phát hiện các mã độc trên hệ điều hành Android giúp tăng cường sự tuỳ biến một số công cụ tiện ích ở mức tối đa cho các hoạt động trinh sát kỹ
thuật của lực lượng Công an nhân dân nhằm mục tiêu duy trì trật tự an ninh mạng, và thực thi luật pháp một cách nhanh chóng, trực tiếp và liên tục.