Nguy hiểm: Mã độc Android bán công khai giúp người thường cũng theo dõi được người khác

[MinhSec]

Một loại phần mềm độc hại Android mới mang tên Oblivion đang khiến giới an ninh mạng lo ngại khi có thể biến smartphone thành công cụ bị theo dõi toàn diện. Đáng chú ý, Trojan truy cập từ xa (RAT) này không được rao bán trên dark web mà xuất hiện công khai trên internet, với giá thuê khoảng 300 USD mỗi tháng.

Nghiên cứu do công ty bảo mật Certo thực hiện và chia sẻ cho Hackread cho thấy Oblivion được thiết kế cực kỳ dễ sử dụng. Điều này đồng nghĩa người mua không cần có kiến thức kỹ thuật cao vẫn có thể giám sát thiết bị của nạn nhân. Tin tặc thậm chí cung cấp các gói thuê linh hoạt như 3 tháng, 6 tháng hoặc trọn đời với giá lên tới 2.200 USD.

Cách thức tấn công tinh vi qua cập nhật giả mạo​

Không giống nhiều mã độc Android truyền thống, Oblivion thường xâm nhập thông qua thông báo cập nhật giả mạo từ Google Play. Khi người dùng bấm “cập nhật”, phần mềm độc hại sẽ âm thầm cấp quyền truy cập toàn diện, bao gồm cả Dịch vụ Trợ năng (Accessibility Service) vốn được thiết kế để hỗ trợ người khuyết tật nhưng lại có thể bị lợi dụng như “chìa khóa vạn năng”.

Sau khi xâm nhập, Oblivion có thể:

• Đọc tin nhắn SMS để đánh cắp mã OTP ngân hàng
• Ghi lại thao tác bàn phím nhằm thu thập mật khẩu và mã PIN
• Mở khóa điện thoại từ xa sau khi khởi động lại
• Theo dõi trực tiếp màn hình trong chế độ ẩn

Trong khi nạn nhân nhìn thấy màn hình “đang cập nhật hệ thống” giả mạo, hacker thực chất đang điều khiển thiết bị ở chế độ nền. Hạ tầng của phần mềm này còn được thiết kế để xử lý hơn 1.000 nạn nhân cùng lúc, thậm chí sử dụng mạng Tor để tăng tính ẩn danh.

Nhiều dòng điện thoại Android hiện đại đều có nguy cơ​

Theo Certo, Oblivion không chỉ nhắm vào các thiết bị cũ mà hoạt động trên hầu hết phiên bản Android hiện đại, từ Android 8 đến Android 16 sắp ra mắt. Mã độc này được tối ưu để vượt qua các lớp giao diện tùy biến của nhiều hãng lớn như:

• HyperOS
• MIUI của Xiaomi
• ColorOS của OPPO
• MagicOS của Honor
• One UI của Samsung
• OxygenOS của OnePlus

Người bán còn quảng cáo rằng phần mềm đã được thử nghiệm trong 4 tháng để tránh bị phát hiện bởi các hệ thống diệt virus. Nó đi kèm công cụ tạo file APK, cho phép giả mạo các ứng dụng quen thuộc như dịch vụ của Google chỉ với vài cú nhấp chuột.

Các chuyên gia cảnh báo Oblivion nguy hiểm vì nó hoạt động “giống như một phần bình thường của hệ thống”, khiến người dùng khó nhận ra dấu hiệu bất thường. Biện pháp phòng vệ quan trọng nhất là chỉ cài ứng dụng từ nguồn đáng tin cậy và cảnh giác nếu điện thoại bất ngờ bị kẹt ở màn hình cập nhật mà bạn không hề yêu cầu. Trong trường hợp đó, hãy tắt máy ngay và tiến hành quét bảo mật để hạn chế rủi ro bị kiểm soát từ xa.

Nguồn: hackread​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview