Google Clould Messaging (GCM) là dịch vụ cho phép gửi các tin nhắn nội bộ với dung lượng khoảng 4KB thông qua máy chủ của Google đến các thiết bị di động với định dạng JSON (JavaScript Object Notation). Và các chuyên gia bảo mật của Kaspersky Labs đã phát hiện hành vi nguy hiểm của một số ứng dụng đã khai thác GCM để lây nhiễm Android.

GCM là dịch vụ tin nhắn hữu ích được cung cấp trên Android để các nhà phát triển có thể gửi các tin nhắn nội bộ đến các thiết bị đã được đăng ký trước đó bằng một tài khoản ID duy nhất với GCM. Và các tin nhắn nội bộ sẽ chứa nội dung thông báo các phiên bản cập nhật mới, trò chơi mới, sản phẩm mới hoặc quản lý các thiết bị từ xa hoặc xác định vị trí của điện thoại khi bị đánh cắp và nhiều hơn nữa…

Trojan-SMS.AndroidOS.FakeInst.a

Là một trong những mối nguy hiểm phổ biến với mục tiêu là Android, Kaspersky Labs đã phát hiện hơn 4,8 triệu lượt cài đặt trên thiết bị Android của các nạn nhân và Kaspersky Mobile Security (KMS) đã ngăn chặn hơn 160 ngàn lượt cố gắng xâm nhập trái phép từ Trojan này trên các thiết bị Android đã cài đặt KMS. Trojan.FakeInst.a có thể thực hiện gửi tin nhắn đến các số trong danh bạ của nạn nhân, xoá các tin nhắn nhận được, tạo các liên kết đến các trang web chứa mã độc, và hiển thị các thông báo quảng cáo các chương trình giả mạo với vỏ bọc là các ứng dụng hữu ích hoặc các trò chơi để đánh lừa các nạn nhân tải về, cài đặt và sử dụng. FakeInst.a đang có mặt trên 130 quốc gia và hiện đang hoạt động mạnh mẽ tại Nga, Ukraine, Kazakhstan và Uzbekistan

Trojan-SMS.AndroidOS.Agent.ao

Nguy trang với vỏ bọc một ứng dụng khiêu dâm nhưng thực tế chỉ hiển thị có hai hình ảnh, hoạt động chính của Trojan này là gửi tin nhắn có tính phí đề đánh cắp tiền của nạn nhân. Và Kaspersky Mobile Security đã ngăn chặn hơn 6.000 lượt cố gắng cài đặt vào các thiết bị Android đã cài đặt sẵn KMS.

Trojan-SMS.AndroidOS.OpFake.a

Đây là một hoạt động điển hình của một Trojan SMS, phát triển mạnh trong các gói ứng dụng cho Android dưới dạng các ứng dụng hoặc trò chơi, Kaspersky Labs đã phát hiện hơn 1 triệu lượt cài đặt với định dạng Trojan này trên thiết bị Android của các nạn nhân trên toàn cầu. Sau khi đã xâm nhập thành công vào thiết bị, Trojan sẽ kết nối tới mã nguồn của nó sau đó thực hiện tiến trình đăng ký với Google Clould Messaging (GCM). Và quan trọng hơn là trong quá trình cái đặt OpFake.a đã thực hiện một số sửa đổi một số các thiết lập đã được Android cảnh báo là một ứng dụng nguy hiểm, nhưng người sử dụng đã bỏ qua cảnh báo này để thực hiện tiếp các bước cài đặt và sử dụng như một ứng dụng hợp pháp.

Trojan-SMS.AndroidOS.OpFake.a đang hiện diện trên 97 quốc gia, phát triển mạnh tại Nga, Ukraine, Kazakhstan, Azerbaijan, Belarus và Uzbekistan, và đã có hơn 60 ngàn lượt ngăn chặn các cài đặt trên những thiết bị Android có sử dụng KMS tại các quốc gia này. Ngoài ra, KMS cũng có hơn 1000 ngàn lượt được tại Ý và Đức.

Backdoor.AndroidOS.Maxit.a

Hoạt động trở lại với các cấu trúc đã được chỉnh sửa, thiết kế lại từ cuối năm 2011, hiện tại đã có hơn 40 biến thể và tất cả đều có hành động liên kết với một trang Web cung cấp các trò chơi trực tuyến để che dấu những hành động nguy hiểm đang được thực hiện lặng lẽ trong nền. Khi được kích hoạt Backdoor .Maxit.a sẽ thiết lập các bước thu thập thông tin của Android và SIM như các số liên lạc trong danh bạ, thông tin nhà cung cấp sau đó gửi tất cả các dữ liệu thu thập được về máy chủ quản lý của Backdoor là androidproject.imaxter.net. Kế tiếp sẽ đăng ký với Google Clould Messesaging (GCM) như một nguồn lệnh bổ sung.

Chức năng chính là gửi tin nhắn, xoá tin nhắn, chuyển hướng tin nhắn được nhận. Ngoài ra, chúng còn thiết lập các phím tắt đến các trang web nhất định và cũng có thể tự động thực hiện các cuộc gọi với hành động yêu cầu các nạn nhân xác nhận. Thường xuyên xuất hiện tại Malaysia và nó cũng được phát hiện tại các quốc gia châu Á khác như Philippines, Myanmar và Thái Lan. Nó được phát tán thông qua “www.momozaap.com”. Kaspersky Labs đã có một phát hiện thú vị là trong mã nguồn của Backdoor .Maxit.a có chứa một số điện thoại chưa từng sử dụng ở bất kỳ địa điểm nào trên toàn cầu có xuất xứ từ Malaysia, và theo đánh giá của các chuyên gia khả năng của nó sẽ được sử dụng như một nguồn lệnh bổ sung.

Trojan-SMS.AndroidOS.Agent.az

Được phát hiện vào tháng 5/2012, hoạt động dưới vỏ bọc một ứng dụng khiêu dâm với ngôn ngữ tiếng Việt, hoạt động chủ yếu là gửi tin nhắn. Đã đăng ký với GCM với cấu trúc như minh hoạ bên trên và sẽ chuyển hướng đến trang khiêu dâm “www.soo.hotclip.mobi”

Và hành động tiếp theo là gửi tin nhắn có tính phí và nhận tin nhắn thông qua GCM để hiển thị chúng như một thông báo của Android. Được phát hiện chủ yếu tại Việt Nam, và chắc chắn nó cũng sẽ phát triển sang quốc gia khác trong tương lai gần bằng chứng là Trojan-SMS.AndroidOS.Agent.az cũng đã được phát hiện trên một số ít các thiết bị Android tại Nga, Ý, Indonesia và Malaysia.

 Quang Đức