MinhSec
Writer
Một biến thể mã độc Trojan Android mới mang tên MagicAd vừa được các chuyên gia bảo mật phát hiện với khả năng phát tán quảng cáo trái phép trên thiết bị theo cách rất khó bị ngăn chặn. Điều đáng lo ngại là loại mã độc này có thể tiếp tục hoạt động ngay cả khi ứng dụng chứa nó đã bị đóng hoặc gỡ khỏi cửa hàng ứng dụng.
Theo báo cáo từ hãng bảo mật Dr.Web, MagicAd được phát hiện ẩn trong hơn 50 ứng dụng và trò chơi trên GetApps kho ứng dụng chính thức dành cho các thiết bị Xiaomi. Mỗi ứng dụng nhiễm mã độc chỉ xuất hiện trong thời gian ngắn trước khi biến mất và được thay thế bằng một ứng dụng khác, giúp chiến dịch phát tán tránh bị phát hiện trong thời gian dài.
Nếu không phát hiện dấu hiệu bất thường, ứng dụng sẽ tự ẩn biểu tượng khỏi màn hình chính và âm thầm thiết lập các dịch vụ chạy nền.
Điểm nguy hiểm nhất nằm ở khả năng hiển thị quảng cáo mà không cần xin quyền "hiển thị trên ứng dụng khác" một quyền thường bị Android kiểm soát chặt chẽ. Thay vào đó, MagicAd sử dụng các "hoạt động trong suốt" để đưa quảng cáo xuất hiện trực tiếp trên màn hình người dùng.
Trên các thiết bị Xiaomi, mã độc gửi các lệnh đặc biệt đến những ứng dụng hệ thống đáng tin cậy như trình duyệt Mi Browser hoặc Miui SystemUI nhằm hiển thị quảng cáo thay cho nó. Với điện thoại Vivo, phương thức tương tự được thực hiện thông qua cơ chế Android Binder để khai thác các ứng dụng hệ thống có sẵn.
Đáng chú ý hơn, một kỹ thuật khác cho phép MagicAd hoạt động trên hầu hết thiết bị Android. Mã độc sẽ giải mã một tệp âm thanh ẩn, khởi chạy trình phát đa phương tiện ở chế độ âm lượng bằng 0 rồi lợi dụng hệ thống điều khiển đa phương tiện của Android để âm thầm kích hoạt quảng cáo. Người dùng chỉ thấy quảng cáo xuất hiện mà không hiểu nguyên nhân từ đâu.
Để duy trì hoạt động lâu dài, mã độc sử dụng các bộ lập lịch tác vụ nhằm liên tục khởi động lại các dịch vụ nền. Trên những phiên bản Android cũ, nó thậm chí còn tạo màn hình ảo để ngăn hệ điều hành vô hiệu hóa các tiến trình độc hại.
Các chuyên gia khuyến cáo người dùng nên thường xuyên rà soát ứng dụng đã cài đặt, gỡ bỏ những phần mềm không rõ nguồn gốc và cập nhật hệ điều hành lên phiên bản mới nhất. Việc sử dụng các giải pháp bảo mật di động uy tín cũng giúp phát hiện sớm những hành vi bất thường trước khi mã độc gây ảnh hưởng nghiêm trọng đến thiết bị.
MagicAd được đánh giá là một ví dụ mới cho thấy các nhóm phát triển mã độc Android đang ngày càng tận dụng sâu hơn các thành phần hệ thống để vượt qua cơ chế bảo vệ của nền tảng, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn đáng kể.
Theo báo cáo từ hãng bảo mật Dr.Web, MagicAd được phát hiện ẩn trong hơn 50 ứng dụng và trò chơi trên GetApps kho ứng dụng chính thức dành cho các thiết bị Xiaomi. Mỗi ứng dụng nhiễm mã độc chỉ xuất hiện trong thời gian ngắn trước khi biến mất và được thay thế bằng một ứng dụng khác, giúp chiến dịch phát tán tránh bị phát hiện trong thời gian dài.
Lợi dụng ứng dụng hệ thống để vượt qua cơ chế bảo vệ Android
Không giống các phần mềm quảng cáo thông thường, MagicAd sử dụng nhiều kỹ thuật tinh vi để duy trì hoạt động. Trước khi kích hoạt, mã độc sẽ kiểm tra xem thiết bị có đang chạy trong môi trường phân tích hoặc máy ảo hay không. Nó cũng xác minh quá trình cài đặt và địa chỉ mạng của thiết bị nhằm tránh bị các chuyên gia bảo mật theo dõi.
Nếu không phát hiện dấu hiệu bất thường, ứng dụng sẽ tự ẩn biểu tượng khỏi màn hình chính và âm thầm thiết lập các dịch vụ chạy nền.
Điểm nguy hiểm nhất nằm ở khả năng hiển thị quảng cáo mà không cần xin quyền "hiển thị trên ứng dụng khác" một quyền thường bị Android kiểm soát chặt chẽ. Thay vào đó, MagicAd sử dụng các "hoạt động trong suốt" để đưa quảng cáo xuất hiện trực tiếp trên màn hình người dùng.
Trên các thiết bị Xiaomi, mã độc gửi các lệnh đặc biệt đến những ứng dụng hệ thống đáng tin cậy như trình duyệt Mi Browser hoặc Miui SystemUI nhằm hiển thị quảng cáo thay cho nó. Với điện thoại Vivo, phương thức tương tự được thực hiện thông qua cơ chế Android Binder để khai thác các ứng dụng hệ thống có sẵn.
Đáng chú ý hơn, một kỹ thuật khác cho phép MagicAd hoạt động trên hầu hết thiết bị Android. Mã độc sẽ giải mã một tệp âm thanh ẩn, khởi chạy trình phát đa phương tiện ở chế độ âm lượng bằng 0 rồi lợi dụng hệ thống điều khiển đa phương tiện của Android để âm thầm kích hoạt quảng cáo. Người dùng chỉ thấy quảng cáo xuất hiện mà không hiểu nguyên nhân từ đâu.
Có thể tồn tại dai dẳng sau khi ứng dụng bị gỡ bỏ
Theo Dr.Web, MagicAd không chỉ nhắm vào điện thoại Xiaomi mà còn xuất hiện trên các thiết bị Vivo và Amazon Fire TV.Để duy trì hoạt động lâu dài, mã độc sử dụng các bộ lập lịch tác vụ nhằm liên tục khởi động lại các dịch vụ nền. Trên những phiên bản Android cũ, nó thậm chí còn tạo màn hình ảo để ngăn hệ điều hành vô hiệu hóa các tiến trình độc hại.
Các chuyên gia khuyến cáo người dùng nên thường xuyên rà soát ứng dụng đã cài đặt, gỡ bỏ những phần mềm không rõ nguồn gốc và cập nhật hệ điều hành lên phiên bản mới nhất. Việc sử dụng các giải pháp bảo mật di động uy tín cũng giúp phát hiện sớm những hành vi bất thường trước khi mã độc gây ảnh hưởng nghiêm trọng đến thiết bị.
MagicAd được đánh giá là một ví dụ mới cho thấy các nhóm phát triển mã độc Android đang ngày càng tận dụng sâu hơn các thành phần hệ thống để vượt qua cơ chế bảo vệ của nền tảng, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn đáng kể.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
