Thế hệ mã độc Android mới

Máy bị nhiễm ứng dụng game Angry Birds giả mạo? Cài đặt phải ứng dụng tự động gửi tin nhắn SMS đến các tổng đài trả cước phí cao? Dưới đây là cách mã độc Android mới nhất lách qua hàng rào bảo mật của Google Play.

Điện thoại Android hiện tại rất phổ biến. Tuy nhiên, sự phổ biến này cũng tạo ra những cơ hội tuyệt vời cho kẻ xấu. Trong vài tháng qua, bọn tội phạm đã tạo ra một số trojan và mã độc Android tinh vi và còn nhiều mã độc nữa đang trong quá trình phát triển.

Theo trang tin tức chuyên về doanh nghiệp Fast Company của Mỹ, hồi đầu tháng Tám, NetQin, một công ty an ninh mạng Trung Quốc đã công bố báo cáo, trong đó cho biết gần 13 triệu điện thoại trên toàn thế giới đang bị nhiễm phải phần mềm độc hại. Một trong những vẫn đề lớn nhất là các ứng dụng mã độc "điều khiển từ xa" của Trung Quốc gửi tin rác tới người dùng điện thoại với nội dung quảng cáo cho các sản phẩm không rõ ràng.

Phần mềm độc hại trên điện thoại Android đã trở nên phức tạp, tinh vi hơn trong những tháng gần đây: Hãng bảo mật GFI Lap mới phát hiện ra một trojan được gài vào bên trong Opera Mini, một trình duyệt khá phổ biến trên điện thoại Android. Người dùng nào cài đặt phải phiên bản Opera Mini bị nhiễm độc cũng đồng thời cài đặt một con "sâu" có tên gọi OpFake. OpFake sau đó tự động gửi tin nhắn văn bản tới các tổng đài đặc biệt khiến người dùng phải trả bộn tiền cước.

Hầu hết các phần mềm độc hại Android đã được phát hiện đều ở thị trường châu Âu hoặc châu Á. Những tổng đài tin nhắn SMS sẽ thu được khá nhiều tiền từ mỗi tin nhắn rác mà phần mềm độc hại gửi đi từ điện thoại của nạn nhân.

Ông J.R. Smith, CEO của hãng bảo mật AVG, nói với Fast Company rằng: "Một khi các phần mềm độc hại được cài đặt thêm - phần mềm có đặc quyền gửi tin nhắn SMS phải trả cước cao - người viết ra phần mềm độc hại có thể dễ dàng thu lợi lớn. Đầu năm nay, một công ty của Lavia có tên là A1 Aggregator Limited đã tạo ra phiên bản giả mạo của một số trò chơi phổ biến. Khi chạy các trò chơi giả mạo này sẽ xuất hiện lỗi, nhưng thực tế nó sẽ gửi đi 3 tin nhắn SMS chi phí cao. Cơ quan quản lý độc lập PhonePlus của Anh đã phạt công ty nói trên 50.000 bảng vì vụ tấn công trên, nhưng cũng chỉ xử được tội đã lây nhiễm mã độc vào smartphone ở Anh trong khi nó đã lây nhiễm và được sử dụng ở nhiều quốc gia khác".

Đối với người dùng Android tại Mỹ, một vấn đề lớn là các ứng dụng nhiễm trojan đã thâm nhập vào Google Play. Cách đây vài tuần, hãng bảo mật Synmantec đã phát hiện ra hơn 50.000 khách hàng đã tải về từ Google Play các trò chơi bị nhiễm mã độc là Grand Theft Auto và Super Mario Brothers. Các trò chơi giả mạo này - được tung ra vào ngày 24/6 và không bị phát hiện cho tới tận tháng Bảy - đã phát tán hành vi bất chính của mình qua Dropbox.

Phần mềm độc hại này có tên gọi là Android.Dropdealer, sử dụng trò chơi để tải về một phần tử độc hại từ thư mục của Dropbox. Sau khi được tải về, phần tử độc hại này sẽ liên tục gửi các tin nhắn văn bản cước phí cao tới một số điện thoại nằm ở một khu vực nào đó ở Đông Âu. Nếu người dùng tải về phần mềm độc hại, đầu mối duy nhất của nó sẽ là một màn hình cài đặt lưu ý rằng các trò chơi có thể thực hiện các cuộc gọi ("phone calls") và việc sử dụng các dịch vụ này có thể làm người dùng tốn tiền ("services that cost you money") như hình dưới.

Cả hai cảnh báo trên đều là dấu hiệu rõ ràng rằng người dùng vừa tải về một trojan. Tuy nhiên có một vấn đề đó là: Nhiều người dùng không hề chú ý tới màn hình cảnh báo khi họ cài đặt phần mềm.

Một số trò chơi bị nhiễm độc khác cũng lợi dụng sự ngây thơ của người dùng. Báo cáo gần đây của AVG đã đưa ra chi tiết về cách làm thế nào một phiên bản phần mềm độc hại với đầy đủ tính năng của game Angry Birds Space có thể được đưa lên một số kho ứng dụng của Trung Quốc. Khi người dùng tải về trò chơi Angry Birds giả mạo này, mã độc sẽ giúp một bên thứ ba không xác định giành quyền kiểm soát điện thoại và thậm chí sử dụng nó vào các mạng máy tính ma (botnet). Ông Yuval Ben Itzhak, chuyên gia của AVG nhận xét trojan có đầy đủ chức năng có thể đánh lừa người dùng tin rằng họ cài đặt phần mềm "xịn" và do đó họ ít khi nhận thức được những hoạt động nguy hiểm của nó.

Cùng thời điểm này, xuất hiện rất nhiều những "bình loạn" về các phần mềm Android độc hại. Hãng viễn thông khổng lồ của Anh, BT, gần đây đã phải rút lại một tuyên bố gây tranh cãi của phụ trách mảng bảo mật toàn cầu của họ, Jill Knesek, rằng một phần ba trong tất cả các ứng dụng Android hiện tại bị nhiễm các phần mềm độc hại. Emil Protalinski của ZDNet lại có nhận xét có một sự mơ hồ giữa các phần mềm gián điệp, phần mềm quảng cáo và phần mềm độc hại; thậm chí các ứng dụng hợp pháp cũng có thể gửi thư rác tới người dùng với các quảng cáo không rõ nguồn gốc và nhiều ứng dụng được viết mã rất ẩu làm chậm điện thoại đến mức độ cũng có thể coi chúng là phần mềm độc hại.

Tuy nhiên, có một thực tế vẫn tồn tại là ngay cả với thực tiễn bảo mật hoàn hảo của Google, các tin tặc đã phát hiện ra cách để thâm nhập vào Google Play và những báo cáo về các phần mềm độc hại trên nền tảng Android đang phát triển với tốc độ đáng báo động.

Hoàng Kỷ