WuKong_top1
Writer
Một chiến dịch phát tán mã độc Android quy mô lớn có khả năng ảnh hưởng tới người dùng Việt Nam, đặc biệt là những người có thói quen cài ứng dụng ngoài Google Play. Đáng buồn là tin tặc đã lợi dụng Hugging Face - nền tảng công nghệ AI vốn được giới kỹ thuật tin cậy để làm nơi lưu trữ và phát tán mã độc khiến việc phát hiện trở nên khó khăn hơn.
Theo phân tích của Bitdefender, chiến dịch này bắt đầu bằng một ứng dụng giả mạo có tên TrustBastion. Ứng dụng này được quảng cáo như công cụ bảo mật, “diệt virus”, “chống lừa đảo”, sử dụng các quảng cáo hù dọa rằng điện thoại người dùng đang nhiễm mã độc. Sau khi cài đặt, ứng dụng lập tức yêu cầu “cập nhật bắt buộc” với giao diện được thiết kế giống Google Play nhằm tạo cảm giác hợp pháp.
Thực chất, TrustBastion chỉ đóng vai trò “mồi nhử”. Thay vì tải mã độc trực tiếp, ứng dụng sẽ chuyển hướng người dùng tới một kho dữ liệu trên Hugging Face chứa hàng nghìn biến thể APK độc hại. Tin tặc liên tục thay đổi mã độc mới chỉ sau mỗi 15 phút để né tránh các hệ thống quét bảo mật tự động.
Mã độc sau khi được cài đặt sẽ lạm dụng quyền Trợ năng (Accessibility) - một quyền rất nhạy cảm trên Android. Khi có quyền này, kẻ tấn công có thể theo dõi màn hình, ghi lại thao tác, chặn gỡ cài đặt, hiển thị giao diện giả mạo và đánh cắp thông tin đăng nhập ngân hàng, ví điện tử, thậm chí cả mã khóa màn hình.
Với người dùng Việt Nam, dù chiến dịch phát tán mã độc Android này được triển khai khá tinh vi, nguy cơ lây lan đã phần nào được hạn chế sau khi Hugging Face kịp thời gỡ bỏ kho lưu trữ độc hại theo cảnh báo của Bitdefender. Tuy nhiên, rủi ro vẫn rất đáng lo ngại do nhiều người có thói quen tìm và cài các ứng dụng “dọn rác”, “tăng tốc”, “diệt virus” từ nguồn không chính thống. Chuyên gia WhiteHat khuyến cáo người dùng chỉ cài ứng dụng từ Google Play, kiểm tra kỹ quyền truy cập và đặc biệt cảnh giác với các ứng dụng tự xưng là “bảo mật” nhưng yêu cầu quyền vượt quá nhu cầu sử dụng.
Theo phân tích của Bitdefender, chiến dịch này bắt đầu bằng một ứng dụng giả mạo có tên TrustBastion. Ứng dụng này được quảng cáo như công cụ bảo mật, “diệt virus”, “chống lừa đảo”, sử dụng các quảng cáo hù dọa rằng điện thoại người dùng đang nhiễm mã độc. Sau khi cài đặt, ứng dụng lập tức yêu cầu “cập nhật bắt buộc” với giao diện được thiết kế giống Google Play nhằm tạo cảm giác hợp pháp.
Thực chất, TrustBastion chỉ đóng vai trò “mồi nhử”. Thay vì tải mã độc trực tiếp, ứng dụng sẽ chuyển hướng người dùng tới một kho dữ liệu trên Hugging Face chứa hàng nghìn biến thể APK độc hại. Tin tặc liên tục thay đổi mã độc mới chỉ sau mỗi 15 phút để né tránh các hệ thống quét bảo mật tự động.
Mã độc sau khi được cài đặt sẽ lạm dụng quyền Trợ năng (Accessibility) - một quyền rất nhạy cảm trên Android. Khi có quyền này, kẻ tấn công có thể theo dõi màn hình, ghi lại thao tác, chặn gỡ cài đặt, hiển thị giao diện giả mạo và đánh cắp thông tin đăng nhập ngân hàng, ví điện tử, thậm chí cả mã khóa màn hình.
Với người dùng Việt Nam, dù chiến dịch phát tán mã độc Android này được triển khai khá tinh vi, nguy cơ lây lan đã phần nào được hạn chế sau khi Hugging Face kịp thời gỡ bỏ kho lưu trữ độc hại theo cảnh báo của Bitdefender. Tuy nhiên, rủi ro vẫn rất đáng lo ngại do nhiều người có thói quen tìm và cài các ứng dụng “dọn rác”, “tăng tốc”, “diệt virus” từ nguồn không chính thống. Chuyên gia WhiteHat khuyến cáo người dùng chỉ cài ứng dụng từ Google Play, kiểm tra kỹ quyền truy cập và đặc biệt cảnh giác với các ứng dụng tự xưng là “bảo mật” nhưng yêu cầu quyền vượt quá nhu cầu sử dụng.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
