Chia Sẻ Tìm hiểu Ghost Push – Monkey Test & Time Service

Thảo luận trong 'Thủ thuật - Chia sẻ' bắt đầu bởi minhdangoz, 19/10/15.

  1. minhdangoz

    minhdangoz
    Jimmy ♥ Lâm Staff Member

    Tham gia:
    1/8/12
    Bài viết:
    4,168
    Được Thích:
    9,349
    Đến từ:
    HCM
    Hiện nay đang xuất hiện một loại phần mềm mã độc vô cùng gây hại của các thiết bị Android có tên là Ghost Push.

    Phần I. Ghost Push
    - Ghost Push là tên gọi dành cho một loại phần mềm độc hại (Malware) trên các thiết bị Android.

    - Ghost Push đã ảnh hưởng tới hơn 900000 thiết bị Android theo báo cáo của Cheetah Mobile.

    - Ước tính mỗi ngày Ghost Push tạo ra khoảng 4 triệu đô la Mỹ từ quảng cáo (báo cáo của Cheetah Mobile)


    Phần II. Nguyên nhân và cách kiểm tra:
    - Người dùng truy cập vào các trang web không tin cậy và vô tình tải về apk và cài đặt.
    Ví dụ: Trường hợp người dùng muốn tải game Need for Speed Most Wanted nhưng trên Play Store phải mua với giá 1$. Nhưng vì không muốn tốn phí nên đã tìm trên các website, khi click vào download thì trang web đó chuyển hướng qua tải app chứa mã độc (Ghost Push).


    - Đối với một số thiết bị, người dùng nhận được bản cập nhật chính thức từ nhà sản xuất, sau đó họ phát hiện thiết bị của họ có 2 ứng dụng ko rõ nguồn gốc là Monkey Test và Time Service. Đây là 2 ứng dụng được cài đặt bởi Ghost Push.


    - Cài đặt Ghost Push từ quảng cáo của các trang web, tham khảo các loại quảng cáo ở hình dưới.
    [​IMG]

    [​IMG]

    [​IMG]



    - Cách kiểm tra thiết bị của bạn có bị dính Malware Ghost Push:

    - Tìm trong danh sách tất cả ứng dụng nếu có các ứng dụng sau:
    + Time Service
    + Monkey Test
    Vì đây là 2 phần mềm chứa mã độc chính của Ghost Push.


    - Máy thường xuyên xuất hiện các bảng quảng cáo.
    - Máy hoạt động chậm, ngốn PIN nhanh.
    - Máy tự động bị bật tắt Wifi, 3G...



    Phần III. Tác hại, ảnh hưởng
    - Ghost Push hoạt động như thế nào:

    o Tải về tool ROOT và chạy tool ROOT.

    o Sửa các tập tin hệ thống.

    o Lấy quyền ROOT và chạy các mã độc.


    [​IMG]

    Nguồn: Cheetah Mobile

    - Sau khi cài đặt phần mềm chứa mã độc (Ghost Push), ứng dụng này có thể lấy được mức quyền hệ thống (system-level permission) của thiết bị. Với mức quyền này, Ghost Push có khả năng root thiết bị của bạn mà ko cần sự đồng ý của bạn, sau đó sẽ tải về các ứng dụng như Monkey Test và Time Service. Tác hại có thể thấy rõ đó là:

    o Làm chậm thiết bị của bạn, do ứng dụng này chạy ngầm.

    o Kéo theo đó là ngốn PIN nhanh.

    o Tải về các ứng dụng chứa mã độc khác làm tăng lưu lượng sử dụng mạng của bạn.

    - Với quyền root, ứng dụng này sẽ được cài đặt trong hệ thống, và các app chứa mã độc khác cũng sẽ được cài đặt trong hệ thống:

    o Bạn không có quyền xóa ứng dụng này.

    o Ứng dụng sẽ được cài đặt lại ngay cả khi bạn khôi phục cài đặt gốc.

    - Ghost Push sẽ biến thiết bị của bạn thành thiết bị “chạy quảng cáo”.

    - Ghost Push có khả năng bật/tắt các kết nối của bạn như: Wifi, Bluetooth, GPS.

    - Với quyền root, Ghost Push có thể điều khiển được toàn bộ thiết bị của bạn. Hiện nay vẫn chưa có báo cáo nào cho thấy Ghost Push theo dõi, lấy thông tin người dùng. Mục đích chính vẫn là kiếm tiền từ quảng cáo.



    Phần IV. Cách khắc phục và các lưu ý

    1. Khắc phục

    - Nạp lại phần mềm (khuyến khích)

    o Nạp lại phần mềm và xóa hết dữ liệu của bộ nhớ trong, thẻ nhớ. Vì có thể các ứng dụng vẫn còn được lưu vào bộ nhớ trong, thẻ nhớ.


    - Xóa bằng công cụ adb. Cách này khá khó và hiệu quả cũng không cao. Trình tự như sau:

    o ROOT thiết bị

    o Cài đặt Busybox cho thiết bị

    o Sử dụng adb

    § adb shell

    § ps | grep .base // lấy danh sách các proccess theo tên .base

    § kill pid // kill các process đó

    o Xóa các tập tin malware

    § mount -o remount rw /system // Tùy theo mỗi máy mà câu lệnh khác nhau

    § chattr –ia /system/xbin/.ext.base

    § chattr –ia /system/xbin/.bat.base

    § chattr –ia /system/xbin/.zip.base

    § chattr –ia /system/xbin/.word.base

    § chattr –ia /system/xbin/.look.base

    § chattr –ia /system/xbin/.like.base

    § chattr –ia /system/xbin/.view.base

    § chattr –ia /system/xbin/.must.base

    § chattr –ia /system/xbin/.team.base

    § chattr –ia /system/xbin/.type.base

    § chattr –ia /system/xbin/.b

    § chattr –ia /system/xbin/.sys.apk

    § chattr –ia /system/xbin/.df

    § chattr –ia /system/bin/daemonuis

    § chattr –ia /system/bin/uis

    § chattr –ia /system/bin/debuggerd

    § chattr –ia /system/bin/nis

    § chattr –ia /system/bin/daemonnis

    § chattr –ia /system/bin/.daemon/nis

    § chattr –ia /system/bin/uis

    § chattr –ia /system/bin/.sr/nis

    § chattr –ia /system/bin/mis

    § chattr –ia /system/bin/daemonmis

    § chattr –ia /system/bin/.daemon/mis

    § chattr –ia /system/bin/.sc/mis

    § rm /system/xbin/.ext.base

    § rm /system/xbin/.bat.base

    § rm /system/xbin/.zip.base

    § rm /system/xbin/.word.base

    § rm /system/xbin/.look.base

    § rm /system/xbin/.like.base

    § rm /system/xbin/.view.base

    § rm /system/xbin/.must.base

    § rm /system/xbin/.team.base

    § rm /system/xbin/.type.base

    § rm /system/xbin/.b

    § rm /system/xbin/.sys.apk

    § rm /system/xbin/.df

    § rm /system/bin/daemonuis

    § rm /system/bin/uis

    § rm /system/bin/debuggerd

    § rm /system/bin/nis

    § rm /system/bin/daemonnis

    § rm /system/bin/.daemon/nis

    § rm /system/bin/uis

    § rm /system/bin/.sr/nis

    § rm /system/bin/mis

    § rm /system/bin/daemonmis

    § rm /system/bin/.daemon/mis

    § rm /system/bin/.sc/mis

    § cp /system/bin/debuggerd_test /system/bin/debuggerd

    § cp /system/etc/install-revcovery.sh /sdcard/

    § exit

    § adb pull /sdcard/install-revcovery.sh

    § adb push install-revcovery.sh /sdcard/

    § cp /sdcard/install-revcovery.sh /system/etc/

    § Mở file /system/etc/install-recovery và xóa các dòng sau



    o Khởi động lại máy

    o Xong

    2. Lưu ý:

    - Không cài đăt, sử dụng các ứng dụng sau, vì chúng là những phần mềm chứa mã độc.

    - Cách tốt nhất là cài đặt ứng dụng từ Google Play Store hoặc từ các trang web có độ tin cậy cao.

    [​IMG]
     
    Last edited: 19/10/15

    Bình Luận Bằng Facebook

  2. Dreamy

    Dreamy Tập tành Android

    Tham gia:
    10/10/15
    Bài viết:
    22
    Được Thích:
    1