Biến thể mới qua mặt cơ chế kiểm duyệt, nhắm vào thiết bị Android chưa cập nhật

Theo TechRadar, các chuyên gia bảo mật từ McAfee vừa phát hiện chiến dịch phát tán mã độc quy mô lớn liên quan đến biến thể mang tên NoVoice, tồn tại trong hơn 50 ứng dụng trên Google Play. Tổng số lượt tải xuống của các ứng dụng này ước tính lên tới 2,3 triệu, cho thấy phạm vi ảnh hưởng đáng kể.

Đáng chú ý, các ứng dụng nhiễm mã độc vẫn hoạt động bình thường và không yêu cầu những quyền truy cập nhạy cảm như Trợ năng - vốn thường là dấu hiệu cảnh báo. Thay vào đó, chúng lợi dụng hàng loạt lỗ hổng bảo mật đã được vá từ năm 2016-2021, bao gồm lỗi nhân hệ điều hành và trình điều khiển GPU Mali, để xâm nhập các thiết bị Android lỗi thời hoặc chưa được cập nhật.

Sau khi xâm nhập, NoVoice tiến hành thu thập thông tin thiết bị như cấu hình phần cứng và phiên bản hệ điều hành. Dựa trên dữ liệu này, mã độc nhận lệnh từ máy chủ điều khiển để triển khai các bước tiếp theo.

Một trong những kỹ thuật nguy hiểm là cài đặt các thành phần vào phân vùng hệ thống, giúp mã độc duy trì sự tồn tại ngay cả khi người dùng thực hiện khôi phục cài đặt gốc. Ngoài ra, NoVoice còn có khả năng tiêm mã vào các ứng dụng đang chạy nhằm mở rộng phạm vi kiểm soát.

Ảnh minh họa

Theo phân tích, mã độc đặc biệt nhắm đến WhatsApp. Mục tiêu là thu thập dữ liệu nhạy cảm và sao chép phiên đăng nhập của người dùng, từ đó cho phép kẻ tấn công truy cập và đồng bộ nội dung tài khoản trên thiết bị khác.

Phía Google xác nhận đã loại bỏ toàn bộ các ứng dụng liên quan khỏi kho ứng dụng. Tuy nhiên, nguy cơ vẫn còn đối với những thiết bị đã bị lây nhiễm trước đó.

Các dấu hiệu cho thấy thiết bị có thể đã nhiễm mã độc bao gồm tình trạng pin hao nhanh bất thường, thiết bị tự động khởi động lại mà không rõ nguyên nhân, hoặc các ứng dụng bị xóa hay tự động cài đặt lại. Khi phát hiện những biểu hiện này, người dùng cần lập tức ngắt kết nối mạng để hạn chế nguy cơ lây lan hoặc bị kiểm soát từ xa, đồng thời tiến hành kiểm tra và xử lý thiết bị càng sớm càng tốt.

Người dùng cần làm gì?

Người dùng cần chủ động cập nhật hệ điều hành Android lên phiên bản mới nhất nhằm đảm bảo các lỗ hổng bảo mật đã được vá kịp thời. Bên cạnh đó, chỉ nên cài đặt ứng dụng từ các nguồn uy tín và nhà phát triển đáng tin cậy để hạn chế nguy cơ bị cài cắm mã độc. Đồng thời, nên hạn chế sử dụng các thiết bị đã lỗi thời hoặc không còn được hỗ trợ cập nhật, do đây là mục tiêu dễ bị khai thác trong các chiến dịch tấn công mạng.

Sự kiện lần này cho thấy, ngay cả các nền tảng phân phối ứng dụng chính thống cũng có thể bị lợi dụng trong các chiến dịch tấn công tinh vi. Trong bối cảnh mối đe dọa ngày càng phức tạp, ý thức bảo mật của người dùng vẫn đóng vai trò then chốt trong việc phòng ngừa rủi ro.

Thúy Hằng (tổng hợp)