MinhSec
Writer
Các chuyên gia an ninh mạng vừa cảnh báo về ClayRat một phần mềm gián điệp mới đang lây lan nhanh chóng trên thiết bị Android, đặc biệt tại Nga. Điều đáng lo ngại là mã độc này ẩn mình trong các ứng dụng quen thuộc như TikTok, WhatsApp, Google Photos hay YouTube, khiến người dùng dễ dàng bị đánh lừa.
Theo nhóm nghiên cứu zLabs của Zimperium, ClayRat được phát tán thông qua các trang web giả mạo trông giống hệt trang chính thức của các dịch vụ nổi tiếng. Khi người dùng truy cập, họ sẽ bị chuyển hướng đến các kênh Telegram, nơi lưu trữ file cài đặt độc hại (APK). Một trong số đó được phát hiện mang tên @baikalmoscow.
Để đánh lừa người dùng, kẻ tấn công còn tạo bình luận tích cực và số lượt tải giả, khiến ứng dụng trông “chính chủ” và an toàn hơn. Nhưng khi được cài đặt, ClayRat sẽ bí mật chiếm quyền điều khiển điện thoại, đánh cắp tin nhắn, lịch sử cuộc gọi, ảnh chụp từ camera trước, thậm chí gửi tin nhắn hoặc gọi điện mà không cần người dùng cho phép.
Zimperium cho biết trong ba tháng qua đã phát hiện hơn 600 biến thể khác nhau của ClayRat và 50 ứng dụng “dropper”, tức các trình cài đặt trung gian chứa mã độc ẩn bên trong. Tốc độ biến hóa nhanh chóng này giúp phần mềm gián điệp né tránh hệ thống bảo mật và duy trì khả năng lây nhiễm rộng.
ClayRat khai thác tính năng nhắn tin mặc định trên Android để tự động gửi tin nhắn độc hại đến toàn bộ danh bạ của nạn nhân. Nội dung thường là “Узнай первым! <link>” (tạm dịch: “Hãy là người đầu tiên biết!”). Vì tin nhắn đến từ người quen nên người nhận thường tin tưởng và nhấp vào, khiến mã độc lây lan theo cấp số nhân.
Chuyên gia John Bambenek cảnh báo rằng “trên di động, người dùng dễ tin tưởng tin nhắn từ danh bạ, nên nguy cơ bị lừa cài app độc hại là rất lớn”. Ông khuyến nghị:
Chỉ cài ứng dụng từ Google Play hoặc kho ứng dụng chính thức.
Không bao giờ cài file APK được gửi qua tin nhắn, Telegram, mạng xã hội hay website lạ.
Cảnh giác với liên kết từ bạn bè, nhất là khi chúng yêu cầu cài đặt hoặc cập nhật ứng dụng.
Mặc dù hiện ClayRat chủ yếu nhắm vào người dùng tại Nga, các chuyên gia lo ngại chiến dịch này có thể sớm lan rộng ra toàn cầu. Người dùng Android cần nâng cao cảnh giác và tuân thủ thói quen tải ứng dụng an toàn để tránh trở thành nạn nhân tiếp theo của phần mềm gián điệp nguy hiểm này.
hackread.com
Chiêu trò tinh vi: mạo danh ứng dụng, lừa tải về qua Telegram
Theo nhóm nghiên cứu zLabs của Zimperium, ClayRat được phát tán thông qua các trang web giả mạo trông giống hệt trang chính thức của các dịch vụ nổi tiếng. Khi người dùng truy cập, họ sẽ bị chuyển hướng đến các kênh Telegram, nơi lưu trữ file cài đặt độc hại (APK). Một trong số đó được phát hiện mang tên @baikalmoscow.
Để đánh lừa người dùng, kẻ tấn công còn tạo bình luận tích cực và số lượt tải giả, khiến ứng dụng trông “chính chủ” và an toàn hơn. Nhưng khi được cài đặt, ClayRat sẽ bí mật chiếm quyền điều khiển điện thoại, đánh cắp tin nhắn, lịch sử cuộc gọi, ảnh chụp từ camera trước, thậm chí gửi tin nhắn hoặc gọi điện mà không cần người dùng cho phép.
Zimperium cho biết trong ba tháng qua đã phát hiện hơn 600 biến thể khác nhau của ClayRat và 50 ứng dụng “dropper”, tức các trình cài đặt trung gian chứa mã độc ẩn bên trong. Tốc độ biến hóa nhanh chóng này giúp phần mềm gián điệp né tránh hệ thống bảo mật và duy trì khả năng lây nhiễm rộng.
Cách ClayRat tự lan truyền và cách bảo vệ thiết bị
ClayRat khai thác tính năng nhắn tin mặc định trên Android để tự động gửi tin nhắn độc hại đến toàn bộ danh bạ của nạn nhân. Nội dung thường là “Узнай первым! <link>” (tạm dịch: “Hãy là người đầu tiên biết!”). Vì tin nhắn đến từ người quen nên người nhận thường tin tưởng và nhấp vào, khiến mã độc lây lan theo cấp số nhân.
Chuyên gia John Bambenek cảnh báo rằng “trên di động, người dùng dễ tin tưởng tin nhắn từ danh bạ, nên nguy cơ bị lừa cài app độc hại là rất lớn”. Ông khuyến nghị:
Chỉ cài ứng dụng từ Google Play hoặc kho ứng dụng chính thức.
Không bao giờ cài file APK được gửi qua tin nhắn, Telegram, mạng xã hội hay website lạ.
Cảnh giác với liên kết từ bạn bè, nhất là khi chúng yêu cầu cài đặt hoặc cập nhật ứng dụng.
Mặc dù hiện ClayRat chủ yếu nhắm vào người dùng tại Nga, các chuyên gia lo ngại chiến dịch này có thể sớm lan rộng ra toàn cầu. Người dùng Android cần nâng cao cảnh giác và tuân thủ thói quen tải ứng dụng an toàn để tránh trở thành nạn nhân tiếp theo của phần mềm gián điệp nguy hiểm này.
Fake TikTok and WhatsApp Apps Infect Android Devices with ClayRat Spyware
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
