[Tuoitre] Một mã độc mới có tên SecuriDropper có khả năng qua mặt tính năng bảo mật trong hệ điều hành Android để chiếm quyền điều khiển điện thoại.
Công ty an ninh mạng của Hà Lan có tên ThreatFabric vừa phát hiện chiến dịch tấn công mạng sử dụng dịch vụ nhỏ giọt (DaaS) trên Android có tên SecuriDropper có khả năng vượt qua các biện pháp bảo mật mới của Google và phát tán phần mềm độc hại.
Theo ThreatFabric, SecuriDropper được thiết kế để hoạt động như một đường dẫn cho phần mềm độc hại xâm nhập vào thiết bị của nạn nhân.
Ngay cả hệ điều hành Android 13 – được Google bổ sung biện pháp bảo mật mới tên là Restricted Settings (cài đặt hạn chế) giúp ngăn chặn các ứng dụng đã được tải sẵn sử dụng quyền trợ năng và truy cập thông báo – cũng có thể bị SecuriDropper qua mặt.
ThreatFabric cho biết đã phát hiện các phần mềm độc hại, Trojan ngân hàng được phân phối qua SecuriDropper trên các trang web lừa đảo và nền tảng của bên thứ ba như Discord.
Giải thích cụ thể hơn, ông Vũ Ngọc Sơn – Giám đốc Công nghệ, Công ty An ninh mạng Quốc gia Việt Nam (NCS), cho biết tính năng Cài đặt hạn chế (Restricted Settings) là tính năng an ninh được giới thiệu từ Android 13 nhằm ngăn các ứng dụng đến từ bên ngoài Google Play truy cập vào Trợ năng (Accessibility) và Notification Listener (Truy cập thông báo).
Nếu phát hiện ứng dụng yêu cầu các quyền này, Restricted Settings sẽ lập tức cảnh báo, ngăn chặn, người dùng sẽ không thể cấp các quyền này cho ứng dụng vừa cài.
Tuy nhiên, với SecuriDropper, các hacker chia nhỏ việc cài đặt thành nhiều bước. Đầu tiên, một phần mềm giả mạo A không đòi quyền đặc biệt sẽ lừa để cài vào máy nạn nhân.
Sau đó, A sẽ gọi các API của Android để giả mạo một phiên cài đặt của Google Play, giúp cài mã độc B lên điện thoại và qua mặt được Restricted Settings. Mã độc B lúc này có thể xin được các quyền Trợ năng và Notification Listener mà không bị cấm. Thậm chí người dùng đã nâng cấp lên Android 14 mới nhất vừa ra mắt cũng sẽ vẫn bị mã độc tấn công theo phương thức này.
“Trước đây những mã độc giả mạo app thuế, giả mạo app Chính phủ chỉ có thể tấn công được người dùng hệ điều hành Android 12 trở xuống, tức là các máy điện thoại mua từ nửa đầu năm 2022 về trước. Tuy nhiên với loại mã độc mới này, chúng có thể xâm nhập cả những điện thoại mới nhất của năm 2023, như vậy khả năng người dùng bị tấn công là rất lớn”, ông Sơn cảnh báo.
Theo ông Sơn, trong thời gian đợi Google cải tiến hàng rào an ninh mới, để đảm bảo an toàn trước các cuộc tấn công, người dùng Android nên tránh tải xuống file APK từ các nguồn không tin cậy.