Theo TechRadar, các chuyên gia an ninh mạng tại McAfee đã phát hiện một biến thể phần mềm độc hại mới mang tên NoVoice xuất hiện trong hơn 50 ứng dụng trên cửa hàng Google Play, với tổng số lượt tải xuống lên tới 2,3 triệu lần. Mặc dù Google thường có khả năng ngăn chặn phần mềm độc hại, nhưng một số vẫn lọt qua được hệ thống kiểm soát.
Người dùng có lý do để rời xa các thiết bị Android cũ không còn được cập nhật
ẢNH: All About Security
Nhóm ứng dụng độc hại này hoạt động bình thường và không yêu cầu nhiều quyền truy cập, như quyền Trợ năng, vốn thường là dấu hiệu cảnh báo. Chúng thuộc nhiều danh mục khác nhau, bao gồm ứng dụng tiện ích, thư viện ảnh và trò chơi. Thay vì lừa người dùng cung cấp quyền truy cập rộng rãi, các ứng dụng này đã khai thác gần hai chục lỗ hổng bảo mật, bao gồm lỗi nhân và lỗi trình điều khiển GPU Mali, vốn đã được vá lỗi từ năm 2016 đến 2021. Điều đó có nghĩa, kẻ tấn công nhắm vào các thiết bị cũ mà người dùng không cập nhật.
Cách hoạt động của phần mềm độc hại
Các chuyên gia an ninh cho biết, NoVoice bắt đầu hoạt động bằng cách thu thập thông tin từ các thiết bị Android bị nhiễm, như chi tiết phần cứng và phiên bản Android. Sau đó, nó nhận được chỉ dẫn để thực hiện các bước tiếp theo, bao gồm việc cài đặt các tập lệnh phục hồi thay thế trình xử lý sự cố hệ thống và lưu trữ các payload (tải trọng) dự phòng trên phân vùng hệ thống. Chính vì vậy, khi người dùng khôi phục cài đặt gốc, phần mềm độc hại vẫn có thể tồn tại.
Sau khi thiết lập khả năng tồn tại lâu dài, phần mềm độc hại sẽ tiêm mã độc vào mọi ứng dụng được khởi chạy trên thiết bị. McAfee đã chỉ ra rằng phần mềm độc hại này đặc biệt nhắm đến WhatsApp nhằm thu thập dữ liệu nhạy cảm để sao chép phiên hoạt động của nạn nhân, từ đó cho phép kẻ tấn công sao chép dữ liệu từ tài khoản WhatsApp của nạn nhân trên thiết bị của chúng.
Google cho biết đã gỡ bỏ tất cả các ứng dụng độc hại, tuy nhiên người dùng vẫn cần thực hiện các biện pháp bảo mật trên thiết bị của mình để tránh bị đe dọa.
Bình luận (0)