Dropper Malware: Hiểu Rõ và Cách Phòng Ngừa

Dropper Là Gì?

Dropper là một loại virus Trojan, nổi tiếng với khả năng ngụy trang thành phần mềm vô hại. Tên gọi “Trojan” bắt nguồn từ câu chuyện về con ngựa thành Troy nổi tiếng, vì nó có khả năng đánh lừa người dùng hoặc hệ thống.

Droppers không chứa mã độc hại trực tiếp, vì vậy nếu bạn quét chương trình dropper bằng phần mềm diệt virus, nó sẽ không bị phát hiện. Trong giai đoạn đầu, dropper sẽ cố gắng thiết lập mình trên máy tính của người dùng, yêu cầu quyền truy cập vào các dịch vụ và tệp cụ thể.

Khi người dùng tin rằng phần mềm dropper là vô hại và cấp quyền truy cập, dropper sẽ chuyển sang giai đoạn hai, liên lạc với máy chủ tải xuống phần mềm độc hại và cài đặt nó lên hệ thống mục tiêu, sử dụng các quyền vừa được cấp để tránh bị phát hiện.

Dropper as a Service Là Gì?

Một người đeo mặt nạ hacker ngồi tại bàn làm việc với máy tính xách tay trong phòng tối

Droppers as a service là một phần của gia đình dịch vụ lớn hơn mà các tác nhân độc hại bán trên thị trường đen. Bạn có thể đã nghe về hậu tố “as a service” trong thế giới phần mềm độc hại, chẳng hạn như ransomware as a service.

Những người cung cấp dịch vụ droppers làm điều này vì họ giỏi lập trình dropper và muốn cung cấp chuyên môn của mình cho thị trường đen. Khách hàng của họ là các nhà phát triển phần mềm độc hại, những người đã thiết kế một payload nhưng cần giúp đỡ để đưa nó vào thiết bị của người dùng. Những nhà phát triển này tìm đến nhà cung cấp dropper để vượt qua các giải pháp diệt virus.

Dịch vụ dropper có thể rất rẻ trên thị trường đen. Một báo cáo từ The Register cho thấy dịch vụ dropper tính phí 2 đô la cho 1.000 lần giao hàng phần mềm độc hại, một khoản tiền nhỏ đối với những người phát triển phần mềm độc hại kiếm tiền từ nạn nhân.

Tuy nhiên, không phải mọi thứ kết thúc bằng “as a service” đều xấu. Ví dụ, artificial intelligence as a service cho phép các doanh nghiệp và khách hàng thuê các giải pháp AI cho mục đích không độc hại.

Ví Dụ Về Droppers as a Service: SecuriDropper

Để hiểu rõ hơn cách hoạt động của droppers as a service, hãy xem xét một ví dụ thực tế. SecuriDropper là một loại dropper đặc biệt nguy hiểm, nhắm vào điện thoại Android và lây nhiễm phần mềm độc hại bằng phương pháp dropper.

Theo báo cáo của Bleeping Computer, SecuriDropper được thiết kế để vượt qua một biện pháp phòng thủ cụ thể trên Android 14. Nếu bạn cố gắng cài đặt một ứng dụng không đến từ cửa hàng Google Play chính thức, nó sẽ không được phép truy cập vào các tính năng nhạy cảm của điện thoại, chẳng hạn như cài đặt Trợ năng.

Để vượt qua điều này, một nhà phát triển phần mềm độc hại có thể thêm SecuriDropper vào một ứng dụng có vẻ vô hại và tải lên một trang web bên thứ ba. Một số ứng dụng chứa SecuriDropper ngụy trang thành các ứng dụng thường được sử dụng; một ứng dụng đã được phát hiện giả mạo Google Translate. Ứng dụng này không chứa mã độc hại, vì vậy nó không bị phát hiện bởi bất kỳ quét diệt virus nào.

Khi nạn nhân tải xuống và cố gắng cài đặt ứng dụng, trong quá trình cài đặt, ứng dụng sẽ yêu cầu quyền truy cập vào bộ nhớ của điện thoại. Nếu được cấp, ứng dụng sẽ hiển thị một thông báo lỗi giả, tuyên bố rằng việc cài đặt đã thất bại. Sau đó, nó sẽ hiển thị một nút cho người dùng, tuyên bố rằng nếu họ nhấn vào, ứng dụng sẽ tự cài đặt lại.

Nếu người dùng nhấn vào nút, dropper sẽ gửi tín hiệu đến máy chủ tải xuống phần mềm độc hại để cài đặt payload. Vì người dùng đã cấp quyền cho ứng dụng sử dụng bộ nhớ của điện thoại, dropper có thể cài đặt phần mềm độc hại theo một cách cụ thể để Android 14 không nhận diện nó là một ứng dụng từ nguồn bên thứ ba.

Điều này, đến lượt nó, cho phép ứng dụng yêu cầu các quyền mà các ứng dụng bên thứ ba thường không được phép yêu cầu. Và nếu người dùng chấp nhận những quyền đó, phần mềm độc hại sẽ có quyền truy cập vào tất cả các quyền cần thiết để tiếp tục kế hoạch của nó.

SecuriDropper đã chịu trách nhiệm cho việc lây lan nhiều loại phần mềm độc hại khác nhau. Ví dụ, một số chủng cài đặt SpyNote có thể lấy cắp dữ liệu trên điện thoại của bạn, và những chủng khác cài đặt một Trojan ngân hàng ngụy trang thành trình duyệt Chrome giả.

Cách Bảo Vệ Khỏi Dropper Malware

Một ổ khóa trên bàn phím máy tính

Dropper malware có thể nghe có vẻ đáng sợ, nhưng bạn sẽ chủ yếu tìm thấy chúng trên các trang web bên thứ ba. Vì vậy, tốt nhất là bạn nên tải ứng dụng từ các nguồn chính thức.

Nếu bạn sử dụng máy tính, chỉ cài đặt ứng dụng từ các nguồn chính thức. Thường bạn có thể tìm thấy ứng dụng trên trang web của nhà phát triển, nhưng đôi khi nhà phát triển sẽ sử dụng một máy chủ bên ngoài để xử lý việc tải xuống. Nếu bạn không chắc chắn, hãy kiểm tra kỹ lưỡng xem trang web có an toàn và bảo mật không trước khi tải ứng dụng từ đó.

Nếu hệ điều hành của bạn đi kèm với một cửa hàng ứng dụng, việc tải ứng dụng từ đó an toàn hơn so với việc lấy chúng từ các trang web bên thứ ba. Các thị trường như Microsoft Store và Google Play đi kèm với các biện pháp bảo mật để giúp bảo vệ người dùng khỏi các mối đe dọa như droppers.

Tuy nhiên, không nên tin tưởng mọi ứng dụng bạn thấy trên cửa hàng ứng dụng chính thức. Các nhà phát triển phần mềm độc hại có thể tìm cách đưa các ứng dụng độc hại vào các cửa hàng ứng dụng này, đến mức Google Play không hoàn toàn an toàn khỏi phần mềm độc hại.

May mắn thay, các bước bạn có thể thực hiện để phát hiện ứng dụng Android giả trên Google Play cũng áp dụng cho các cửa hàng ứng dụng khác. Nếu có điều gì đó “cảm thấy không ổn” về một ứng dụng, đừng tải nó xuống.