Một chiến dịch tấn công Android mới mang tên ClayRat đang khiến cộng đồng an ninh mạng chú ý khi giả mạo các ứng dụng phổ biến như WhatsApp, TikTok, YouTube hay Google Photos để phát tán phần mềm gián điệp.
ClayRat là một loại spyware (phần mềm gián điệp) được phát tán qua các kênh Telegram và trang web giả mạo trông giống hệt trang tải app chính thức. Khi người dùng truy cập và nhấn tải, họ sẽ nhận được file APK giả danh ứng dụng nổi tiếng. Các chuyên gia an ninh mạng cho biết chỉ trong 90 ngày, họ đã phát hiện hơn 600 mẫu ClayRat khác nhau và khoảng 50 “dropper” (ứng dụng trung gian dùng để cài mã độc chính).
Điểm tinh vi của ClayRat là khả năng ẩn mình qua nhiều lớp mã hóa và thay đổi cấu trúc liên tục để vượt qua các công cụ bảo vệ Android. Mỗi phiên bản mới lại được “nâng cấp” để khó bị phát hiện hơn.
Sau khi người dùng cài đặt, ứng dụng hiển thị giao diện giống thật nhưng bên trong là một quy trình chiếm quyền điều khiển thiết bị:
ClayRat không chỉ là phần mềm gián điệp đơn thuần mà là một mạng lưới lây nhiễm tự động, nơi mỗi thiết bị bị xâm nhập sẽ trở thành công cụ tấn công mới. Với khả năng gửi tin nhắn và gọi điện trực tiếp từ máy nạn nhân, chiến dịch này có thể tạo ra vòng lây nhiễm hàng loạt chỉ trong thời gian ngắn.
Và là minh chứng rõ ràng cho thấy hacker đang ngày càng tinh vi và “thấu hiểu” thói quen người dùng, biết cách đánh vào sự tò mò và tin tưởng mù quáng với ứng dụng “Hot”. Việc tải một app “YouTube Plus” hay “WhatsApp mod” chỉ để có thêm vài tính năng mới có thể khiến bạn trở thành mắt xích trong chuỗi lây nhiễm toàn cầu.
Theo hãng bảo mật di động Zimperium, đánh giá ClayRat là mối đe dọa đặc biệt nguy hiểm vì nó không cần hacker can thiệp thủ công, toàn bộ việc phát tán và thu thập dữ liệu đều được tự động hóa qua C2 panel. Điều này giúp chiến dịch mở rộng rất nhanh và khó bị ngăn chặn. Chiến dịch này hiện đang chủ yếu nhắm vào người dùng tại Nga, song mức độ nguy hiểm của nó có thể lan rộng toàn cầu, nhất là với những ai thường tải ứng dụng từ nguồn không chính thống.
Người dùng cần đặc biệt cảnh giác với ứng dụng tải từ Telegram, website lạ hoặc link chia sẻ qua tin nhắn. Một số biện pháp phòng tránh:
ClayRat là một loại spyware (phần mềm gián điệp) được phát tán qua các kênh Telegram và trang web giả mạo trông giống hệt trang tải app chính thức. Khi người dùng truy cập và nhấn tải, họ sẽ nhận được file APK giả danh ứng dụng nổi tiếng. Các chuyên gia an ninh mạng cho biết chỉ trong 90 ngày, họ đã phát hiện hơn 600 mẫu ClayRat khác nhau và khoảng 50 “dropper” (ứng dụng trung gian dùng để cài mã độc chính).
Điểm tinh vi của ClayRat là khả năng ẩn mình qua nhiều lớp mã hóa và thay đổi cấu trúc liên tục để vượt qua các công cụ bảo vệ Android. Mỗi phiên bản mới lại được “nâng cấp” để khó bị phát hiện hơn.
Sau khi người dùng cài đặt, ứng dụng hiển thị giao diện giống thật nhưng bên trong là một quy trình chiếm quyền điều khiển thiết bị:
- Yêu cầu được đặt làm ứng dụng SMS mặc định để đọc và gửi tin nhắn.
- Âm thầm thu thập danh bạ, nhật ký cuộc gọi, tin nhắn, thông báo và thông tin thiết bị.
- Chụp ảnh từ camera trước, gửi toàn bộ dữ liệu về máy chủ điều khiển (C2) của tin tặc.
- Đặc biệt nguy hiểm, ClayRat có thể tự phát tán, gửi liên kết độc hại tới toàn bộ danh bạ của nạn nhân, biến chính điện thoại bị nhiễm thành “trạm phát mã độc” mới.
Và là minh chứng rõ ràng cho thấy hacker đang ngày càng tinh vi và “thấu hiểu” thói quen người dùng, biết cách đánh vào sự tò mò và tin tưởng mù quáng với ứng dụng “Hot”. Việc tải một app “YouTube Plus” hay “WhatsApp mod” chỉ để có thêm vài tính năng mới có thể khiến bạn trở thành mắt xích trong chuỗi lây nhiễm toàn cầu.
Theo hãng bảo mật di động Zimperium, đánh giá ClayRat là mối đe dọa đặc biệt nguy hiểm vì nó không cần hacker can thiệp thủ công, toàn bộ việc phát tán và thu thập dữ liệu đều được tự động hóa qua C2 panel. Điều này giúp chiến dịch mở rộng rất nhanh và khó bị ngăn chặn. Chiến dịch này hiện đang chủ yếu nhắm vào người dùng tại Nga, song mức độ nguy hiểm của nó có thể lan rộng toàn cầu, nhất là với những ai thường tải ứng dụng từ nguồn không chính thống.
Người dùng cần đặc biệt cảnh giác với ứng dụng tải từ Telegram, website lạ hoặc link chia sẻ qua tin nhắn. Một số biện pháp phòng tránh:
- Chỉ tải ứng dụng từ Google Play, không cài file APK ngoài nếu không thật sự cần.
- Không cấp quyền SMS, camera, microphone cho ứng dụng không rõ nguồn gốc.
- Cập nhật Android và Google Play Protect thường xuyên.
- Nếu nghi ngờ bị nhiễm, hãy ngắt kết nối Internet, sao lưu dữ liệu quan trọng và khôi phục cài đặt gốc (factory reset).
WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
