Cảnh báo: Hàng triệu thiết bị Android đã cài 50 ứng dụng chứa mã độc
Một chiến dịch phần mềm độc hại tinh vi vừa bị phát hiện trên Google Play, với khoảng 50 ứng dụng Android chứa mã độc đã âm thầm xâm nhập vào hàng triệu thiết bị Android trên toàn cầu.
Theo các nhà nghiên cứu từ hãng bảo mật McAfee, khoảng 50 ứng dụng Android chứa mã độc mang tên NoVoice đã xuất hiện trực tiếp trên cửa hàng Google Play và đạt hơn 2,3 triệu lượt tải xuống.
Điểm đáng lo ngại là các ứng dụng này không cần vượt qua hệ thống bảo mật bằng thủ thuật phức tạp, mà được phát hành như những phần mềm bình thường, chủ yếu là trò chơi, ứng dụng dọn dẹp hay thư viện ảnh. Sau khi được báo cáo, Google đã tiến hành gỡ bỏ toàn bộ các ứng dụng liên quan.
Cơ chế tấn công âm thầm, nhắm vào thiết bị Android lỗi thời
Khác với nhiều mã độc Android lây qua file cài đặt ngoài, NoVoice hoạt động ngay trong các ứng dụng tải từ kho chính thức. Theo tờ BleepingComputer, khi người dùng mở ứng dụng, mã độc sẽ kích hoạt và khai thác các lỗ hổng Android đời cũ (từ 2016 - 2021).
Đồng thời, mã độc này cũng tìm cách chiếm quyền kiểm soát thiết bị và ẩn mình trong các thành phần hệ thống hợp pháp.
Sau đó, mã độc trích xuất các đoạn code được mã hóa, nạp trực tiếp vào bộ nhớ để thực thi một kỹ thuật giúp tránh bị phát hiện bởi các phần mềm bảo mật truyền thống.
Thu thập dữ liệu và kiểm soát thiết bị từ xa
Khi đã hoạt động, NoVoice tiến hành thu thập hàng loạt thông tin về thiết bị như phiên bản Android, thông tin phần cứng, danh sách ứng dụng.
Dữ liệu này được gửi về máy chủ điều khiển, cho phép kẻ tấn công tiếp tục gửi lệnh hoặc mã độc bổ sung mỗi 60 giây.
Các nhà nghiên cứu cho biết mã độc có thể khai thác tới 22 lỗ hổng khác nhau, bao gồm lỗi hệ điều hành nghiêm trọng, nhằm chiếm quyền kiểm soát toàn hệ thống.
Sau khi chiếm quyền kiểm soát thiết bị thành công, mã độc sẽ tiến hành thay thế các thành phần hệ thống Android, cài đặt mã lệnh vào hệ thống để duy trì hoạt động lâu dài và ghi dữ liệu vào phân vùng hệ thống.
Điều này khiến thiết bị bị nhiễm gần như không thể làm sạch bằng cách khôi phục cài đặt gốc, tạo ra một “cửa hậu” nguy hiểm.
Ở cấp độ cao nhất, NoVoice có thể tự động cài và gỡ ứng dụng, khởi động lại thiết bị để duy trì hoạt động và đánh cắp dữ liệu từ các ứng dụng nhạy cảm.
Đáng chú ý, mã độc có khả năng truy xuất dữ liệu từ WhatsApp, từ đó sao chép phiên đăng nhập sang thiết bị của kẻ tấn công. Nguy cơ đối với các ứng dụng tài chính cũng được đặt ra.
Theo Google, các thiết bị Android đã cập nhật từ tháng 5/2021 trở đi hầu như miễn nhiễm với cuộc tấn công này. Ngược lại các thiết bị cũ, không cập nhật và điện thoại đã bị chiếm quyền kiểm soát hoặc can thiệp hệ thống là nhóm có nguy cơ cao nhất.
Dấu hiệu nhận biết thiết bị bị nhiễm mã độc
Người dùng cần cảnh giác nếu thiết bị có các biểu hiện như hao pin bất thường, tự khởi động lại và ứng dụng biến mất hoặc tự cài lại.
Nếu gặp các dấu hiệu trên, người dùng phải ngắt kết nối mạng ngay lập tức và mang thiết bị đi kiểm tra.
Để giảm thiểu rủi ro, các chuyên gia bảo mật khuyến cáo người dùng Android luôn cập nhật hệ điều hành lên phiên bản mới nhất, chỉ cài ứng dụng từ nhà phát triển uy tín và hạn chế sử dụng thiết bị đã lỗi thời.
Sự cố NoVoice cho thấy ngay cả các nền tảng chính thống như Google Play cũng không hoàn toàn miễn nhiễm trước các chiến dịch tấn công tinh vi. Trong bối cảnh mã độc ngày càng phức tạp, ý thức bảo mật của người dùng vẫn là tuyến phòng thủ quan trọng nhất.