Mã độc Android giả mạo game Pokémon Go

Tôi nhận được mẫu của một người bạn gửi sau khi game Pokémon Go được ra mắt, các bạn trẻ đã nhanh tay để lừa đảo người dùng cài đặt mã độc lên điện thoại của họ.

Mã độc được phát tán qua mạng xã hội

          Mã độc này có thể đã được phát tán đi rất nhiều nơi, khi mà máy chủ lưu trữ nhiều hơn một tệp tin độc hại. Các mã độc này có mục tiêu tấn công chỉ người dùng từ Việt Nam.

anh1

Nhìn chung, các tệp tin mã độc này đều có mã giống nhau, có thể tác giả đang cố thử nghiệm nó với các phiên bản Android khác nhau.

Các chức năng của dòng mã độc này đã được phân tích từ Symantec, chi tiết xem tại: https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2014-110720-2146-99

Với mẫu mã độc được nêu trên đây, máy chủ điều khiển không quá khó để tìm ra.

anh2

Khuyến cáo, không nên cài đặt các phần mềm trên điện thoại di động từ những nguồn không đáng tin cậy. Đặc biệt cần cập nhật các bản vá lỗi thường xuyên từ nhà phát triển ứng dụng di động.

Hash:

File: Android.apk
CRC-32: 71873655
MD4: 8956374d0d133cb4b9b7a1a500d18ffc
MD5: b6033c702f8cb2d743e36b8ef0d64d9e
SHA-1: 0bf7137dc932aa09220e78e0a794effd9610d75a

File: DDos.apk
CRC-32: ccc18b64
MD4: c31aa4732a9fa8048d5657ce0cf1b222
MD5: ab65227470081133ec7bad299871521e
SHA-1: dacdaf0dc157a1f7a3b6485a5cc2d06d2f57b905

File: Gym.apk
CRC-32: a1afa4f7
MD4: 9836d875376af6f85d353d8face2aa22
MD5: 170b135b1db3a7b7cc5206461f82f7e7
SHA-1: 9628f081ad185b5c27474e30ab113fad480a9e97

File: mma.apk
CRC-32: e07aabe2
MD4: c05fa8b61c445bfdc9f4845d0e623453
MD5: 24acdf63a9de170aa1d95746e8482bf5
SHA-1: 6690d72393928407e2bf81e91b7d2d0c5cf4b6b6

File: mod.apk
CRC-32: f950281c
MD4: 5deb84432a5f3837a82bbfcb80bb34ef
MD5: 7e868f60cb3658e3766f3a97eb18d544
SHA-1: 2f4f1fe866d4b74ec032410bedfb8cf797db0eee

File: Pokemon.apk
CRC-32: 94e918f0
MD4: 33ab39a5ed2c5a55d959995a23cfc5f0
MD5: 696d5ad62ca561aa09c92db3a0cf521f
SHA-1: 963bbbcc3887f64f0dda26026f4938eca6975d5c
Virus Total

File: Pokemon_2.apk
CRC-32: a846f9da
MD4: aef2b323fd6d52bd3dfdbd075b62da5f
MD5: ea6a4ce4bfdd2dcfbfa97441f8477193
SHA-1: 8a3c6ce44fec4ba7c3d8112a8a0c84f6726316f9

File: RikVip.apk
CRC-32: 83882773
MD4: d35c7bf2b6f2135f3abb3b3908e0dcc8
MD5: 82fe3d68f0005ba45f1a978069e849fd
SHA-1: 95ef76e931f272b6d3052a77d4f3edec08cb90d7

File: TaiLieu.apk
CRC-32: 80e81501
MD4: 8e72f4c1fadae36cc181420165d90b35
MD5: bb5eb9732fe46225e5fe7cedbe332990
SHA-1: 5e94d55f677bde8166d04945e31cf040539c593c

File: TF.apk
CRC-32: e07aabe2
MD4: c05fa8b61c445bfdc9f4845d0e623453
MD5: 24acdf63a9de170aa1d95746e8482bf5
SHA-1: 6690d72393928407e2bf81e91b7d2d0c5cf4b6b6

File: TracNghiem.apk
CRC-32: 077e63ac
MD4: 856ac68defa00bbf244ffce96a6e7f7d
MD5: e19bdf0579d0bbb6fa9abe9ad9de0ede
SHA-1: 7f4cc01e4211342b73f3e6ffd6cdf3f6383898d3

File: YHocCoTruyen.apk
CRC-32: a2e6cee4
MD4: 687974ee2e6a159d54b758afec005142
MD5: bcadf45425e3ffe5e2bc5165333cd4a7
SHA-1: 47d7144594ec2447bb8f1b977db3b383affe8267

Tài liệu tham khảo:

[1] https://blogs.mcafee.com/mcafee-labs/sandrorat-android-rat-targeting-polish-banking-users-via-e-mail-phishing/

[2] http://thehackernews.com/2014/08/sandrorat-android-malware-that.html

[3] http://www.dtig.net/sandrorat/

[4] https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2014-110720-2146-99

 

Advertisements

2 thoughts on “Mã độc Android giả mạo game Pokémon Go”

    1. định viết dài, nhưng tài liệu tham khảo đủ hết rồi nên không nên cho vào thêm dài làm gì cả.
      Tài liệu tham khảo ở đây không nên hiểu là tôi lấy nội dung từ tài liệu tham khảo ra, mà nên hiểu tài liệu tham khảo dùng để kiểm chứng thông tin hoặc tìm hiểu những thông tin còn thiếu mà tôi không nêu ra trong bài viết.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s