Hàng chục triệu điện thoại thông minh android bị cài sẵn phần mềm độc hại nguy hiểm

Nhiều máy tính ở Việt Nam bị phần mềm gián điệp theo dõi

Ai đã nghiệm thu phần mềm chấm thi có lỗ hổng?

Người ta thường chỉ nghĩ đến các ứng dụng độc hại được cài đặt từ kho ứng dụng Play Store và tin rằng, các smartphone mới nguyên hộp đều an toàn. Thế nhưng, điều này là hoàn toàn sai lầm.

Lén cài phần mềm nguy hiểmtrước khi bán

Theo đó,một số phần mềm độc hại đã được cài sẵn vào điện thoại thông minh cả trước khi bán ra, nhẹ thì lợi dụng để hiển thị quảng cáo, nặng thì lấy cắp thông tin,thậm chí chiếm quyền điều khiển máy. Maddie Stone, một nhà nghiên cứu bảo mật của Google Project Zero đã chia sẻ những phát hiện của nhóm cô tại sự kiện BlackHat vừa qua.

Khi phần mềm độc hại hoặc các vấn đề bảo mật xuất hiện dưới dạng các ứng dụng được cài sẵn, thì thiệt hại mà nó gây ra lớn hơn, Stone cho biết. Rủi ro đến từ dự án nguồn mở của Android (AOSP), Google cho phép sử dụng hệ điều hành Android với chi phí thấp hoặc miễn phí. AOSP thường được dùng cho các smartphone giá rẻ, các nhà sản xuất lựa chọn cách này để giảm giá thành sản phẩm.

Khi đó, kẻ xấu chỉ cần thỏa hiệp với nhà sản xuất sử dụng ứng dụng của chúng để trục lợi thay vì tìm cách dụ dỗ hàng nghìn người dùng, Stone cảnh báo. Nhóm này không tiết lộ bất kỳ chi tiết nào về các thương hiệu smartphone liên quan, nhưng hơn 200 nhà sản xuất điện thoại được phát hiện cài sẵn mềm độc hại cho phép tin tặc có thể tấn công từ xa.

Android là một hệ điều hành mở, rất tốt cho tùy biến phần mềm và cài đặt nhưng tai hại khi tin tặc cũng nắm bắt cơ hội này để ngụy trang phần mềm độc hại bên cạnh các phần mềm cơ bản trên các thiết bị. Nhiều smartphone mới được cài đặt tới 400 ứng dụng từ trước khi xuất xưởng, nên nhiều ứng dụng độc hại thường bị bỏ qua trong lúc kiểm duyệt.

Google cảnh báo về 2 chủng mã độc đặcbiệt là Chamois và Triada. Chamois có nhiệm vụ hiển thị quảng cáo, tải về ứng dụng nền và các plug-in, thậm chí gửi đi các tin nhắn có giá cước cao. Chỉ riêng Chamois đã được tìm thấy cài đặt sẵn trên 7,4 triệu thiết bị.

Còn Triada là biến thể khác của phần mềm độc hại, cũng để hiển thị quảng cáo và cài đặt ứng dụng chứa mã độc. Google cho biết đã tiến hành chiến dịch sàng lọc từ tháng 3/2018 đến tháng 3/2019, giúp giảm các thiết bị nhiễm Chamois từ con số 7,4 triệu xuống còn 700.000. Tuy nhiên, theo Stone, hệ sinh thái Android rất rộng lớn vớisự đa dạng các OEM, nên rủi ro với người dùng là khó tránh khỏi. Trước đó, cơ quan an ninh mạng Đức phát hiện bốn mẫu smartphone Trung Quốc được cài sẵn phần mềm độc hại trên firmware.

Theo đó, các mẫu điện thoại bị ảnh hưởng bao gồm Doogee BL7000, MHorsePure1, Keecoo P11 và VKworldMix Plus. Văn phòng Bảo mật thông tin Liên bang Đức (BSI) cho biết trên firm ware của những mẫu điện thoại kể trên có chứa trojan Andr/Xgen2-CY. Công ty bảo mật mạng Sophos Labs của Anh lần đầu tiên phát hiện ra chủng phần mềm độc hại này vào tháng 10/2018.

Trong một báo cáo được công bố vào thời điểm đó, Sophos cho biết phần mềm độc hại được nhúng bên trong ứng dụng Sound Recorder, được cài sẵn trên điện thoại thông minh ule Fone S8 Pro. Sophos cho biết Andr/Xgen2-CY được thiết kế để hoạt động như một “cửa hậu” và không thể gỡ bỏ khỏi điện thoại.

Công ty cho biết, phần mềm độc hại này có thể thu thập dữ liệu gồm số điện thoại, thông tin vị trí, bao gồm kinh độ, vĩ độ và địa chỉ đường phố, mã định danh IMEI và Android ID, độ phân giải màn hình, nhà sản xuất, mô hình, thương hiệu, phiên bản hệ điều hành, thông tin CPU, dạng kết nối, địa chỉ MAC, dung lượng RAM và ROM, kích thước thẻ SD, ngôn ngữ và nhà cung cấp dịch vụ điện thoại di động.

Khi các thông tin này được gửi về máy chủ từ xa, họ có thể sử dụng phần mềm độc hại để tải xuống và cài đặt ứng dụng, gỡ cài đặt ứng dụng, thực thi các lệnh shell, mở URL trên trình duyệt. Sophos cho biết tác giả của phần mềm độc hại đã cố gắng che giấu và ngụy trang nó như một phần của thư viện hỗ trợ trên Android.

Cơ quan an ninh mạng Đức cho biết họ đã thấy ít nhất 20.000 địa chỉ IP có trụ sở ở Đức kết nối với máy chủ của Andr/Xgen2- CY hàng ngày, điều này cho thấy vẫn còn rất nhiều người dùng Đức sử dụng điện thoại bị nhiễm phần mềm độc hại, chưa kể người dùng ở các quốc gia khác rất có thể cũng bị ảnh hưởng. TheoBSI, người dùng không thể gỡ bỏ phần mềm độc hại theo cách thông thường.

Những thiết bị dính phần mềm độc hại có thể bị mã hóa dữ liệu và tống tiền, mất tài khoản ngân hàng,… Đây không phải là lần đầu tiên cácnhà nghiên cứu phát hiện ra phần mềm độc hại được cài sẵn trên các mẫu điện thoại Trung Quốc. Còn nhớ vào tháng 11/2016, Kryptowire và Anubis Networks đã phát hiện hai công ty Trung Quốc nhúng một chức năng giống như “cửa hậu” vào trong các dòng code.

Vào tháng 12/2016, các nhà nghiên cứubảo mật của Dr.Web đã tìm thấy một trình tải xuống phần mềm độc hại được nhúng trong firmware của 26 mẫu điện thoại thông minh Android. Vào tháng 7/2017, Dr.Web đã tìm thấy các phiên bản trojan ngân hàng Triada được ẩn trong firmware của một số điện thoại thông minh Android. Vào tháng 3/2018, cùng một Dr.Web đã tìm thấy trojan Triada tương tự được nhúng trong firmware của 42 mẫu điện thoại thông minh Android khác.

Vào tháng 5/2018, các nhà nghiên cứu của Avast đã tìm thấy trojan Cosiloon (backdoor) trong firmware của 141 điện thoại thông minh Android. Đa phần những mẫu điện thoại được cài sẵn phần mềm độc hại đều có giá rẻ và đến từ các nhà cung cấpíttên tuổi.

Cẩn thận với ứng dụng

Còn đối với các mã độc xuất phát từ kho ứng dụng, trước đó, hãng bảo mật Check Point cũng đã phát hiện một mã độc mới có tên Agent Smith đã xâm nhập và lây nhiễm khoảng 25 triệu thiết bị Android. Mã độc này được đặt tên dựa trên một nhân vật trong loạt phim viễn tưởng Ma trận (The Matrix) do phương thức tấn công tinh vi và rất khó phát hiện.

Việc lây nhiễm mã độc này chủ yếu do các thiết bị đã tải từ kho ứng dụng 9Apps của Trung Quốc. Sau khi người dùng tải ứng dụng chứa mã độc xuống, Agent Smith sẽ ngụy trang thành các ứng dụng phổ biến trong kho ứng dụng của hệ điều hành Android và bắt đầu xâm nhập, thay thế mã của ứng dụng chuẩn trên thiết bị, thí dụ như các trò chơi hay phần mềm miễn phí.

Check Point cho biết loại mã độc này sẽ không lấy cắp dữ liệu cá nhân của người dùng, mà thay vào đó nó sẽ tấn công vào các ứng dụng hiện có trên smartphone để buộc hiển thị các nội dung quảng cáo nhằm giúp tin tặc có thể lấy tiền từ các nhà cung cấp quảng cáo. Phần mềm độc hại lây qua cửa hàng ứng dụng của bên thứ ba 9apps.com, thuộc sở hữu của tập đoàn Alibaba (Trung Quốc).

Khác với kho ứng dụng Google Play, 9Apps thường không kiểm soát kỹ các ứng dụng được chia sẻ lên đây nên tin tặc đã chia sẻ các ứng dụng có chứa mã độc lên 9Apps để phát tán đến người dùng. Hãng bảo mật cho biết họ đã gửi thông báo cho Google và các cơ quan thực thi pháp luật và ngay sau đó hãng Google đã phát hiện và gỡ bỏ chúng. Những phần mềm độc hại đã tồn tại từ lâu và một số lỗ hổng nghiêm trọng trên hệ điều hành Android đã được vá từ nhiều năm trước.

Tuy nhiên, các nhà phát triển ứng dụng đã không cập nhật phần mềm của họ, tạo điều kiện cho tin tặc xâm nhập và tấn công. Check Point cảnh báo người dùng Android trên toàn thế giới nên thận trọng và luôn sử dụng các ứng dụng có nguồn gốc rõ ràng để tránh lây nhiễm virus cũng như các mã độc hay phần mềm độc hại và thường xuyên cập nhật kịp thời các bản vá lỗi và bảo mật cho thiết bị của mình.