 |
| Ảnh minh họa |
Theo Zimperium, DroidLock hiện chủ yếu nhắm tới người dùng tại Tây Ban Nha nhưng có nguy cơ nhanh chóng lan rộng sang các quốc gia khác. Mã độc này được phát tán thông qua các trang web quảng bá ứng dụng giả mạo, nơi nó được ngụy trang dưới dạng ứng dụng hợp pháp hoặc bản cập nhật hệ thống. Người dùng thường bị lừa cài đặt thông qua các thông báo cập nhật giả, sau đó cấp quyền quản trị viên và quyền trợ năng - hai nhóm quyền cho phép ứng dụng can thiệp sâu vào hệ thống.
Khi đã được cấp quyền, DroidLock có thể thực hiện nhiều thao tác nguy hiểm như khóa thiết bị, thay đổi mã PIN hoặc hình vẽ mở khóa, xóa dữ liệu hoặc khôi phục cài đặt gốc. Các thao tác này được thực hiện âm thầm thông qua lớp phủ màn hình, khiến người dùng khó phát hiện dấu hiệu bất thường. Trong thời gian thiết bị không được sử dụng, mã độc có thể thay đổi thiết lập bảo mật, khiến chủ sở hữu mất hoàn toàn quyền truy cập vào điện thoại.
Sau khi chiếm quyền điều khiển, tin tặc sẽ gửi yêu cầu tiền chuộc, đe dọa xóa vĩnh viễn dữ liệu nếu nạn nhân không thanh toán trong vòng 24 giờ. Việc liên lạc thường được thực hiện qua các địa chỉ email sử dụng dịch vụ Proton nhằm che giấu danh tính. Dù không mã hóa dữ liệu như các dòng ransomware truyền thống, nguy cơ mất dữ liệu vĩnh viễn vẫn đủ để gây áp lực lớn với người dùng.
Các chuyên gia an ninh mạng khuyến cáo người dùng Android không cài đặt ứng dụng từ nguồn bên ngoài kho Google Play, thận trọng với các thông báo yêu cầu cập nhật hoặc cài đặt ứng dụng lạ, hạn chế cấp quyền quản trị và quyền trợ năng cho phần mềm không rõ nguồn gốc, đồng thời thường xuyên kiểm tra, thu hồi các quyền bất thường để giảm nguy cơ bị tấn công bởi mã độc như DroidLock.
Khôi Nguyên (tổng hợp)
Bình luận