Vào ngày 8 tháng 1 năm 2019, chúng tôi đã thấy trường hợp đầu tiên của "phần mềm độc hại clipper" trên cửa hàng Google Play. Nó ngụy trang thành một ứng dụng vô tội để đánh lừa mọi người tải xuống, sau đó bắt đầu chuyển hướng các quỹ tiền điện tử cho tác giả của phần mềm độc hại.
Nhưng phần mềm độc hại clipper là gì, nó hoạt động như thế nào và bạn có thể tránh bị tấn công bằng cách nào?
Phần mềm độc hại Clipper là gì?
Phần mềm độc hại Clipper nhắm mục tiêu địa chỉ ví tiền điện tử trong khi giao dịch. Địa chỉ ví giống như phiên bản tiền điện tử của số tài khoản ngân hàng. Nếu bạn muốn ai đó thanh toán cho mình bằng tiền điện tử, bạn cung cấp cho họ địa chỉ ví của mình và người nhận thanh toán nhập địa chỉ đó vào chi tiết thanh toán của họ.
Bạn có thể tìm hiểu thêm về cách hoạt động của tiền điện tử trong hướng dẫn hữu ích của chúng tôi.
Phần mềm độc hại Clipper chiếm đoạt một giao dịch tiền điện tử bằng cách hoán đổi địa chỉ ví với một địa chỉ thuộc sở hữu của tác giả phần mềm độc hại. Khi người dùng thực hiện thanh toán từ tài khoản tiền điện tử của họ, họ sẽ trả tiền cho tác giả phần mềm độc hại thay vì người nhận dự kiến của họ.
Điều này có thể gây ra một số thiệt hại nghiêm trọng về tài chính nếu phần mềm độc hại cố gắng chiếm đoạt một giao dịch có giá trị cao.
Cách hoạt động của phần mềm độc hại Clipper
Phần mềm độc hại Clipper thực hiện việc hoán đổi này bằng cách giám sát khay nhớ tạm của thiết bị bị nhiễm, nơi lưu trữ dữ liệu đã sao chép. Mỗi khi người dùng sao chép dữ liệu, người cắt sẽ kiểm tra dữ liệu đó để xem liệu nó có chứa bất kỳ địa chỉ ví tiền điện tử nào hay không. Nếu có, phần mềm độc hại sẽ hoán đổi nó với địa chỉ của tác giả phần mềm độc hại.
Bây giờ, khi người dùng dán địa chỉ, họ sẽ dán địa chỉ bị tấn công thay vì địa chỉ hợp pháp.
Phần mềm độc hại Clipper khai thác bản chất phức tạp của địa chỉ ví. Đây là những chuỗi số và chữ cái dài dường như được chọn ngẫu nhiên. Trừ khi người dùng đã sử dụng một địa chỉ ví nhiều lần, rất ít khả năng họ nhận thấy rằng địa chỉ đó đã bị hoán đổi.
Tệ hơn nữa, sự phức tạp của nó có nghĩa là mọi người có nhiều khả năng sao chép và dán địa chỉ --- chính xác những gì phần mềm độc hại clipper muốn!
Nó đã hoạt động được bao lâu?
Bản thân phần mềm độc hại Clipper không có gì mới. Nó xuất hiện vào khoảng năm 2017 và chủ yếu tập trung vào các máy chạy Windows. Kể từ đó, phần mềm độc hại clipper dành cho Android đã được phát triển và bán trên thị trường chợ đen và các ứng dụng bị nhiễm có thể được tìm thấy trên các trang web mờ ám.
Các trang web như vậy là nền tảng cho phần mềm độc hại Gooligan năm 2016, đã lây nhiễm cho 1 triệu thiết bị.
Đây là trường hợp đầu tiên về một ứng dụng trên cửa hàng Google Play chính thức bị nhiễm phần mềm độc hại clipper. Tải thành công ứng dụng bị nhiễm lên cửa hàng chính thức là viễn cảnh mơ ước của mọi nhà phân phối phần mềm độc hại. Một ứng dụng trên cửa hàng Google Play mang một không khí xác thực nhất định, làm cho nó đáng tin cậy hơn các ứng dụng được tìm thấy trên một trang web ngẫu nhiên.
Điều này có nghĩa là mọi người thường tải xuống và cài đặt ứng dụng từ cửa hàng mà không cần thắc mắc, đó chính là điều mà tác giả phần mềm độc hại muốn.
Ứng dụng nào chứa Phần mềm độc hại Clipper?
Phần mềm độc hại clipper nằm trong một ứng dụng có tên là MetaMask. Đó là một dịch vụ thực sự cho phép các ứng dụng phân tán dựa trên trình duyệt cho tiền điện tử Ethereum. MetaMask chưa có ứng dụng Android chính thức, vì vậy các tác giả phần mềm độc hại đã tận dụng điều này để khiến mọi người nghĩ rằng nó đã làm.
Ứng dụng MetaMask giả mạo này đã làm nhiều việc hơn là hoán đổi các địa chỉ tiền điện tử trong khay nhớ tạm. Nó cũng yêu cầu các chi tiết Ethereum của người dùng như một phần của việc thiết lập tài khoản giả mạo. Sau khi người dùng không nghi ngờ đã nhập thông tin chi tiết, tác giả phần mềm độc hại có tất cả thông tin họ cần để đăng nhập vào tài khoản và lấy nó cho chính họ.
May mắn thay, một công ty bảo mật đã phát hiện ra phần mềm độc hại clipper trước khi nó gây ra quá nhiều thiệt hại. Ứng dụng MetaMask giả mạo đã được tải lên vào ngày 1 tháng 2 năm 2019 và đã được báo cáo và xóa chỉ hơn một tuần sau đó.
Sự trỗi dậy của các cuộc tấn công tiền điện tử
Mặc dù vectơ tấn công này là mới, nhưng nó không gây quá nhiều ngạc nhiên. Ngày nay, tiền điện tử là lĩnh vực kinh doanh rất lớn và đi kèm với nó là tiềm năng kiếm được một số tiền lớn. Mặc dù hầu hết mọi người hài lòng với việc kiếm tiền thông qua các phương tiện hợp pháp, nhưng sẽ luôn có một số tìm cách lợi dụng những người khác.
Cryptojackers là một mục yêu thích của các tác giả phần mềm độc hại trên toàn cầu. Những kẻ này chiếm đoạt bộ xử lý của thiết bị để biến nó thành công cụ khai thác tiền điện tử cho tác giả, tốt nhất là người dùng cuối thậm chí không nhận ra.
Giống như ví dụ về phần mềm độc hại clipper này, các công ty bảo mật đã tìm thấy những kẻ xâm nhập tiền điện tử lây nhiễm các ứng dụng trên cửa hàng Google Play. Do đó, đây có thể chỉ là bước khởi đầu của phần mềm độc hại dựa trên tiền điện tử tấn công người dùng trên điện thoại Android.
Cách Tránh Tấn công Phần mềm độc hại Clipper
Điều này nghe có vẻ rất đáng sợ, nhưng tránh bị phần mềm độc hại clipper tấn công khá đơn giản. Phần mềm độc hại Clipper phụ thuộc vào việc người dùng không biết về sự tồn tại của nó và bỏ qua các dấu hiệu cảnh báo. Tìm hiểu về cách hoạt động của phần mềm độc hại clipper là một bước tiến lớn để đánh bại nó. Khi đọc bài viết này, bạn đã hoàn thành 90% công việc!
Trước tiên, hãy luôn đảm bảo rằng bạn tải xuống ứng dụng từ cửa hàng Google Play. Mặc dù Google Play không hoàn hảo nhưng nó an toàn hơn rất nhiều so với các trang web mờ ám trên internet. Cố gắng tránh các trang web hoạt động như một 'cửa hàng của bên thứ ba' cho Android, vì những trang này có nhiều khả năng chứa phần mềm độc hại hơn Google Play.
Khi tải xuống ứng dụng trên Google Play, hãy kiểm tra kỹ tổng số lượt tải xuống của ứng dụng trước khi cài đặt. Nếu một ứng dụng xuất hiện chưa lâu và có số lượt tải xuống thấp, thì việc tải xuống ứng dụng đó có thể rất rủi ro. Tương tự như vậy, nếu ứng dụng tuyên bố đó là phiên bản di động của một dịch vụ phổ biến, hãy kiểm tra kỹ tên nhà phát triển.
Nếu tên khác (thậm chí một chút) với tên của nhà phát triển chính thức, đó là một dấu hiệu cảnh báo lớn rằng có điều gì đó không ổn.
Ngay cả khi điện thoại của bạn bị nhiễm phần mềm độc hại clipper, bạn vẫn có thể tránh bị tấn công bằng cách cẩn thận. Kiểm tra kỹ mọi địa chỉ ví mà bạn dán để đảm bảo rằng địa chỉ đó không thay đổi giữa chừng. Nếu địa chỉ bạn dán khác với địa chỉ bạn đã sao chép, thì phần mềm độc hại clipper đang ẩn náu trên hệ thống của bạn.
Quét vi-rút toàn bộ và xóa mọi ứng dụng mờ ám mà bạn có thể đã cài đặt gần đây.
Cắt đôi Cánh của Phần mềm độc hại Clipper
Phần mềm độc hại Clipper có thể tàn phá đối với bất kỳ ai xử lý một lượng lớn tiền điện tử. Bản chất phức tạp của địa chỉ ví, kết hợp với xu hướng sao chép và dán của người dùng điển hình, tạo cơ hội cho phần mềm độc hại clipper tấn công.
Nhiều người thậm chí có thể không nhận ra họ đang làm gì cho đến khi quá muộn!
May mắn thay, việc đánh bại phần mềm độc hại clipper rất đơn giản. Không bao giờ tải xuống các ứng dụng đáng ngờ và kiểm tra kỹ tất cả các liên kết ví trước khi xác nhận giao dịch.
Bạn lo lắng về phần mềm độc hại trên thiết bị di động của mình? Dưới đây là cách tăng cường bảo mật điện thoại thông minh của bạn và đánh bại phần mềm độc hại trên thiết bị di động.