Ảnh minh họa. Nguồn ảnh: Shutterstock

Lỗ hổng zero-day và bản vá khẩn cấp từ Google, Samsung

Đầu tháng 9/2025, Google đã khẩn cấp phát hành Android Security Bulletin để xử lý hàng loạt lỗ hổng, trong đó có ít nhất hai lỗ hổng zero-day đã bị khai thác trong thực tế, có nghĩa là tin tặc đã dùng những lỗi này để thực hiện các hành vi xâm nhập vào thiết bị trước khi bản vá được phát hành.

 Những lỗ hổng này cho phép kẻ gian chiếm quyền điều khiển thiết bị hoặc cài đặt mã độc một cách âm thầm nếu người dùng chưa cập nhật. Samsung và một số nhà sản xuất khác cũng phát hành bản cập nhật khẩn để vá các lỗi nghiêm trọng, trong đó có báo cáo về CVE-2025-21043 - một lỗi xử lý ảnh đã bị khai thác “trong thực địa” trước khi được sửa. Việc các nhà cung cấp liên tục tung ra bản vá trong vài ngày gần đây cho thấy mức độ nguy hiểm của các lỗ hổng này.

Mã độc tinh vi phân phối qua cửa hàng giả, quảng cáo và họ malware đa năng

Song song củng với hoạt động khai thác lỗ hổng hệ thống, các chiến dịch tấn công mạng gần đây sử dụng nhiều phương thức phân phối tinh vi để lừa người dùng cài phần mềm độc hại. Các báo cáo an ninh mạng ghi nhận những biến thể mã độc được phân phối qua các ứng dụng cửa hàng giả mạo, dùng quảng cáo trả tiền trên mạng xã hội Meta Ads hoặc SMS lừa đảo để dụ người dùng tải app độc hại. Một số họ mã độc mới, như biến thể PlayPraetor, đã lây nhiễm hàng nghìn thiết bị bằng cách giả mạo trang Google Play và triển khai RAT (remote access trojan) có khả năng chiếm quyền, giám sát clipboard và giả mạo nhiều ứng dụng ngân hàng để đánh cắp thông tin đăng nhập.

Hơn thế nữa, các họ malware ngân hàng như HOOK đã tiến hóa thành công cụ đa năng với khả năng chụp màn hình, ghi lại thao tác, hiển thị overlay (lớp phủ) giả mạo để ăn cắp dữ liệu và thậm chí thực hiện hành vi tống tiền. Sự kết hợp giữa khai thác lỗ hổng zero-day và các kênh phân phối thông qua cửa hàng giả mạo, quảng cáo trả tiền Meta Ads khiến mối đe dọa nhằm vào Android trở nên phức tạp và khó phòng vệ.

Diễn biến hiện nay cho thấy một hình thái tấn công mới: tội phạm mạng vừa khai thác lỗ hổng hệ thống để tấn công trực tiếp, vừa tận dụng kỹ thuật xã hội và hạ tầng quảng cáo để lừa người dùng, khiến cả người cẩn trọng lẫn hệ thống thiếu cập nhật đều có thể trở thành nạn nhân.

Giải pháp tự bảo vệ cho người dùng và doanh nghiệp

Trong bối cảnh các chiến dịch tấn công đang diễn ra, biện pháp trước mắt cho người dùng là cập nhật hệ điều hành và ứng dụng ngay khi có bản vá, bởi nhiều lỗ hổng được vá trong các bản phát hành bảo mật vừa qua. Người dùng chỉ nên cài ứng dụng từ nguồn tin cậy, kiểm tra quyền truy cập của ứng dụng và cân nhắc sử dụng giải pháp bảo mật di động uy tín để phát hiện hành vi bất thường.

Với doanh nghiệp, việc duy trì chính sách quản lý cập nhật bản vá, kiểm soát ứng dụng trên thiết bị công vụ và triển khai giải pháp EDR/Mobile Threat Defense sẽ giảm đáng kể rủi ro khi nhân viên dùng thiết bị di động để truy cập tài nguyên nội bộ. Những động thái này sẽ là lớp phòng thủ thực tế nhất trước các chiến dịch kết hợp khai thác zero-day và phân phối mã độc.

An Lâm (Theo Android Open Source Project (9/2025); The Hacker News)