Bảo vệ dữ liệu

Biến thể mã độc Android ClayRat đánh cắp SMS, lịch sử cuộc gọi và bí mật chụp ảnh người dùng

Một biến thể phần mềm gián điệp Android mới ClayRat vừa được các chuyên gia cảnh báo là mối đe doạ nghiêm trọng đối với an ninh thiết bị di động. Mẫu này được nhóm nghiên cứu zLabs phát hiện vào tháng 10, là sự phát triển cao của mã độc trên nền tảng Android, phép tin tặc kiểm soát gần như toàn bộ thiết bị của nạn nhân.

07:27, 06/12/2025
Ảnh minh họa. Hackread
Ảnh minh họa. Hackread

Chiến dịch phát tán quy mô lớn với hàng trăm tệp APK độc hại

ClayRat được thiết kế để đánh cắp dữ liệu cá nhân nhưng vẫn ẩn mình tinh vi. Mã độc ngụy trang thành các ứng dụng hợp pháp như YouTube, ứng dụng nhắn tin hay các dịch vụ bản địa như taxi và đỗ xe tại Nga. Hình thức phát tán chủ yếu là qua các trang web lừa đảo; hiện có hơn 25 tên miền đang hoạt động để lưu trữ tập tin độc hại. Một số dịch vụ lưu trữ đám mây như Dropbox cũng bị lợi dụng, cho thấy chiến dịch được triển khai ở quy mô lớn. Chỉ trong thời gian ngắn, các nhà nghiên cứu đã thu thập hơn 700 tệp APK (tệp lưu trữ Android) độc hại khác nhau.

Mã độc xâm nhập thông qua các lời mời cài đặt giả mạo, yêu cầu người dùng cấp quyền SMS và quyền Hỗ trợ tiếp cận (Accessibility Services - tính năng hỗ trợ người khuyết tật tương tác với thiết bị). Các chuyên gia công ty bảo mật di động Zimperium cho biết ClayRat sử dụng một kỹ thuật dropper tinh vi, nhúng mã độc bên trong ứng dụng hợp pháp rồi giải nén khi chạy để vượt qua các lớp bảo vệ Android. Payload độc hại được mã hóa bằng AES/CBC (thuật toán mã hóa đối xứng), lưu trong thư mục assets và chỉ được giải mã khi ứng dụng hoạt động, khiến các hệ thống quét tự động khó phát hiện.

Lạm dụng Accessibility để vô hiệu hóa bảo vệ và chiếm quyền điều khiển

Sau khi được cài vào máy, ClayRat lập tức yêu cầu kích hoạt Accessibility Services để mở rộng đặc quyền, kết hợp với quyền đọc SMS tạo ra điều kiện cho tin tặc can thiệp sâu vào hệ thống. Khi có đủ quyền, mã độc tự động vô hiệu hóa Google Play Store bằng cách mô phỏng các thao tác chạm màn hình, qua đó tắt tính năng bảo vệ Play Protect mà người dùng không hề hay biết.

Một trong những điểm nguy hiểm nhất là khả năng giám sát toàn bộ thao tác trên màn hình khóa. ClayRat theo dõi các nút bấm, thao tác vẽ mẫu hoặc nhập mật khẩu, từ đó tái tạo mã PIN, password hoặc pattern của thiết bị. Các thông tin này được lưu lại trong SharedPreferences (kho lưu trữ dữ liệu của ứng dụng) dưới khóa lock_password_storage. Dựa trên những dữ liệu này, mã độc sử dụng lệnh auto_unlock để tự động gửi thao tác ảo nhằm mở khóa điện thoại, giúp tin tặc duy trì quyền truy cập liên tục.

Không chỉ vậy, ClayRat còn âm thầm chụp ảnh bằng camera, ghi lại nội dung màn hình thông qua API MediaProjection (giao diện hệ thống cho phép ứng dụng ghi màn hình), đánh cắp SMS và lịch sử cuộc gọi, đồng thời tạo các thông báo giả để chặn các phản hồi nhạy cảm của người dùng.

An Lâm (Theo Cyber Security News)

Bảo vệ dữ liệu
Biến thể mã độc Android ClayRat đánh cắp tin nhắn lịch sử cuộc gọi kiểm soát thiết bị chụp ảnh người dùng thu thập dữ liệu nhạy cảm

Các nước Bắc Âu và Estonia triển khai hệ thống thanh toán thẻ ngoại tuyến đề phòng mất kết nối Internet

Công ty an ninh mạng CrowdStrike sa thải hàng trăm nhân viên

Bình luận

Sự kiện & Quan điểm
Hiệp hội An ninh mạng Quốc gia sắp ra mắt Chi hội phía Nam

Hiệp hội An ninh mạng Quốc gia sắp ra mắt Chi hội phía Nam

Ngày 8/12/2025 tới đây, tại TP. Hồ Chí Minh, Hiệp hội An ninh mạng Quốc gia (NCA) sẽ tổ chức Lễ ra mắt Chi hội Phía Nam và Ban Chấp hành Chi hội nhiệm kỳ đầu tiên (2026 - 2030).