MinhSec
Writer
Nhiều người dùng thường cho rằng chỉ những ứng dụng tải từ các trang web không rõ nguồn gốc mới tiềm ẩn nguy cơ nhiễm mã độc. Tuy nhiên, một phát hiện mới từ các chuyên gia bảo mật cho thấy ngay cả những kho ứng dụng chính thức cũng không hoàn toàn an toàn.
Theo hãng bảo mật Doctor Web, hơn 50 ứng dụng và trò chơi Android đã bị phát hiện phát tán một loại Trojan quảng cáo có tên Android.MagicAd.1. Điều đáng lo ngại là các ứng dụng này từng xuất hiện trên những nền tảng phân phối chính thức như Samsung Galaxy Store và GetApps của Xiaomi.
Loại mã độc này không nhằm đánh cắp dữ liệu hay chiếm quyền điều khiển thiết bị, nhưng lại gây khó chịu bằng cách liên tục hiển thị quảng cáo ngay cả khi người dùng đã đóng ứng dụng.
Để tránh bị phát hiện, các đối tượng đứng sau chiến dịch thường xuyên cập nhật và thay đổi phiên bản ứng dụng. Mỗi phiên bản chỉ tồn tại trong thời gian ngắn trước khi bị thay thế bằng bản mới, khiến các hệ thống kiểm tra bảo mật gặp nhiều khó khăn.
Sau khi được cài đặt, mã độc sẽ giải mã các thành phần ẩn được nhúng bên trong ứng dụng. Trước khi kích hoạt, nó còn thực hiện hàng loạt bước kiểm tra nhằm phát hiện môi trường phân tích bảo mật hoặc máy ảo thường được các chuyên gia sử dụng để nghiên cứu phần mềm độc hại.
Nếu không phát hiện dấu hiệu bị theo dõi, Trojan sẽ âm thầm ẩn biểu tượng ứng dụng khỏi màn hình chính và thiết lập các tác vụ nền để liên tục hoạt động.
Trên điện thoại Xiaomi và các thiết bị Amazon, mã độc tận dụng một số thành phần hệ thống như trình duyệt hoặc giao diện hệ điều hành để tự kích hoạt và hiển thị quảng cáo trên màn hình.
Đối với điện thoại Vivo, Trojan khai thác cơ chế giao tiếp nội bộ của Android để gửi lệnh thông qua các ứng dụng hệ thống có sẵn, từ đó tiếp tục phát quảng cáo mà không cần sự cho phép của người dùng.
Trong những trường hợp khác, phần mềm độc hại còn sử dụng một thủ thuật đặc biệt. Nó phát một tệp âm thanh hoàn toàn im lặng ở chế độ nền nhằm đánh lừa hệ điều hành rằng ứng dụng vẫn đang hoạt động hợp lệ. Nhờ đó, mã độc có thể duy trì quyền ưu tiên và tiếp tục hiển thị quảng cáo.
Doctor Web cho biết tất cả các ứng dụng đã được xác định chứa Android.MagicAd.1 hiện đã bị gỡ khỏi các kho ứng dụng chính thức. Tuy nhiên, vụ việc cho thấy tội phạm mạng ngày càng tinh vi trong việc lợi dụng chính những thành phần đáng tin cậy của hệ điều hành để vượt qua các cơ chế bảo mật.
Các chuyên gia khuyến cáo người dùng nên thường xuyên cập nhật hệ điều hành, kiểm tra danh sách ứng dụng đã cài đặt và gỡ bỏ ngay những phần mềm không rõ nguồn gốc hoặc có dấu hiệu hiển thị quảng cáo bất thường.
Theo hãng bảo mật Doctor Web, hơn 50 ứng dụng và trò chơi Android đã bị phát hiện phát tán một loại Trojan quảng cáo có tên Android.MagicAd.1. Điều đáng lo ngại là các ứng dụng này từng xuất hiện trên những nền tảng phân phối chính thức như Samsung Galaxy Store và GetApps của Xiaomi.
Loại mã độc này không nhằm đánh cắp dữ liệu hay chiếm quyền điều khiển thiết bị, nhưng lại gây khó chịu bằng cách liên tục hiển thị quảng cáo ngay cả khi người dùng đã đóng ứng dụng.
Cách thức hoạt động tinh vi của Android.MagicAd.1
Theo các nhà nghiên cứu, Android.MagicAd.1 lần đầu được ghi nhận từ năm 2025 nhưng hiện nay đã xuất hiện trong hàng chục ứng dụng khác nhau.
Để tránh bị phát hiện, các đối tượng đứng sau chiến dịch thường xuyên cập nhật và thay đổi phiên bản ứng dụng. Mỗi phiên bản chỉ tồn tại trong thời gian ngắn trước khi bị thay thế bằng bản mới, khiến các hệ thống kiểm tra bảo mật gặp nhiều khó khăn.
Sau khi được cài đặt, mã độc sẽ giải mã các thành phần ẩn được nhúng bên trong ứng dụng. Trước khi kích hoạt, nó còn thực hiện hàng loạt bước kiểm tra nhằm phát hiện môi trường phân tích bảo mật hoặc máy ảo thường được các chuyên gia sử dụng để nghiên cứu phần mềm độc hại.
Nếu không phát hiện dấu hiệu bị theo dõi, Trojan sẽ âm thầm ẩn biểu tượng ứng dụng khỏi màn hình chính và thiết lập các tác vụ nền để liên tục hoạt động.
Vượt qua cơ chế bảo vệ của Android
Các phiên bản Android hiện đại đã bổ sung nhiều lớp bảo vệ nhằm ngăn ứng dụng chạy ngầm hoặc hiển thị cửa sổ quảng cáo trái phép. Tuy nhiên, Android.MagicAd.1 đã tìm ra cách lách các quy định này bằng cách lợi dụng những ứng dụng hệ thống được cài sẵn trên thiết bị.
Trên điện thoại Xiaomi và các thiết bị Amazon, mã độc tận dụng một số thành phần hệ thống như trình duyệt hoặc giao diện hệ điều hành để tự kích hoạt và hiển thị quảng cáo trên màn hình.
Đối với điện thoại Vivo, Trojan khai thác cơ chế giao tiếp nội bộ của Android để gửi lệnh thông qua các ứng dụng hệ thống có sẵn, từ đó tiếp tục phát quảng cáo mà không cần sự cho phép của người dùng.
Trong những trường hợp khác, phần mềm độc hại còn sử dụng một thủ thuật đặc biệt. Nó phát một tệp âm thanh hoàn toàn im lặng ở chế độ nền nhằm đánh lừa hệ điều hành rằng ứng dụng vẫn đang hoạt động hợp lệ. Nhờ đó, mã độc có thể duy trì quyền ưu tiên và tiếp tục hiển thị quảng cáo.
Doctor Web cho biết tất cả các ứng dụng đã được xác định chứa Android.MagicAd.1 hiện đã bị gỡ khỏi các kho ứng dụng chính thức. Tuy nhiên, vụ việc cho thấy tội phạm mạng ngày càng tinh vi trong việc lợi dụng chính những thành phần đáng tin cậy của hệ điều hành để vượt qua các cơ chế bảo mật.
Các chuyên gia khuyến cáo người dùng nên thường xuyên cập nhật hệ điều hành, kiểm tra danh sách ứng dụng đã cài đặt và gỡ bỏ ngay những phần mềm không rõ nguồn gốc hoặc có dấu hiệu hiển thị quảng cáo bất thường.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
