Android là hệ điều hành di động phổ biến nhất trên thế giới và chiếm 74% thị phần điện thoại thông minh toàn cầu. Do đó, Android là mục tiêu hàng đầu của tất cả các loại phần mềm độc hại và tấn công mạng.
Vấn đề phần mềm độc hại trên hệ điều hành Android thực sự lan rộng - và ngay cả cửa hàng ứng dụng chính thức của Google cũng không thể thoát khỏi sự xâm nhập. Trên thực tế, các nhà nghiên cứu bảo mật liên tục tìm thấy phần mềm độc hại được ngụy trang dưới dạng các chương trình thông thường
Hầu hết phần mềm độc hại chính thống trên Android được thiết kế để phục vụ một mục đích: kiếm tiền cho các nhà phát triển đằng sau nó. Nhưng ngoài các chiến dịch spam và phần mềm đăng ký, các nhà phát triển tham vọng hơn đã tạo ra một banking Trojan(Trojan ngân hàng) nguy hiểm có thể nhắm mục tiêu hơn 337 ứng dụng Android để lấy dữ liệu và mật khẩu. Dưới đây là những gì bạn cần biết về nó.
Phần mềm độc hại BlackRock nguy hiểm
Theo công ty bảo mật ThreatFnai, một phần mềm độc hại mới được thiết kế với khả năng đáng sợ đã được phát hiện vào tháng 5/2020, lưu hành trên các cửa hàng ứng dụng Android của bên thứ ba. Được gọi là “BlackRock”, banking Trojan này khác biệt với phần mềm độc hại tương tự bằng cách nhắm mục tiêu không chỉ một số ít chương trình mà nó nhắm vào khoảng 337 ứng dụng trên Android.
Khi phần mềm độc hại được khởi chạy lần đầu tiên trên thiết bị, nó sẽ bắt đầu bằng cách ẩn biểu tượng của nó khỏi nơi sắp xếp ứng dụng, làm cho nó ẩn đi đối với người dùng cuối. Ở bước thứ hai, nó hỏi nạn nhân về các đặc quyền của Dịch vụ Trợ năng (Accessibility Service). Như có thể thấy trong ảnh chụp màn hình sau, Trojan này đang giả mạo các bản cập nhật của Google.
Sau khi người dùng cấp đặc quyền Dịch vụ trợ năng được yêu cầu, BlackRock sẽ bắt đầu bằng cách tự cấp cho mình các quyền bổ sung. Các quyền bổ sung đó được yêu cầu để bot hoạt động đầy đủ mà không cần phải tương tác thêm với nạn nhân. Khi hoàn tất, bot hoạt động và sẵn sàng nhận lệnh từ máy chủ C2 và thực hiện các cuộc tấn công lớp phủ (overlay).
Nếu phát hiện ứng dụng nào có thể tấn công được, nó sẽ ngay lập tức tạo ra một “overlay” (lớp phủ) xuất hiện trên điện thoại, cửa sổ vô hình này sẽ thu thập toàn bộ dữ liệu mà bạn nhập vào ứng dụng đó. Cửa sổ ẩn này hoạt động giống như popup và nằm trên bất kỳ ứng dụng nào bạn đang sử dụng.
Sau đó, khi bạn nhập thông tin tài chính hoặc dữ liệu đăng nhập (như username và password), phần mềm độc hại sẽ ngay lập tức thu thập thông tin đó và gửi trở lại máy chủ của nhà phát triển đứng sau ứng dụng.
Tuy nhiên, để hoạt động bình thường phần mềm độc hại này sẽ yêu cầu các ứng dụng bị nhiễm “accessibility permissions”(quyền truy cập), sử dụng quyền truy cập này để hiển thị các lớp phủ độc hại .
Quyền truy cập này được thiết kế để giúp người khuyết tật có thể sử dụng thiết bị của họ dễ dàng hơn và các overlay hợp pháp có thể giúp người dùng giải quyết các vấn đề khi họ sử dụng điện thoại thông minh của mình. Nhưng BlackRock lợi dụng tính năng này để tự cấp cho mình quyền truy cập quản trị vào toàn bộ thiết bị.
Nếu các lớp phủ được bật trên BlackRock, dưới đây là một số loại dữ liệu mà nó có thể lấy cắp và sửa đổi:
- Tin nhắn
- Ứng dụng cụ thể
- Các tổ hợp phím gõ và dữ liệu đã nhập
- Thông báo trên thiết bị (pushing notification)
- Dữ liệu và chức năng cho các ứng dụng chống vi-rút trên thiết bị di động
Cách có thể tự bảo vệ mình khỏi BlackRock
Hiện tại, BlackRock được phát tán ngụy trang dưới dạng các gói cập nhật thông qua ứng dụng giả Google được cung cấp trên các trang web của bên thứ ba và hiện mã độc vẫn chưa được phát hiện trên chợ ứng dụng chính thức của Google. Các trung tâm tải xuống không chính thức này đầy rẫy các trò chơi và chương trình có vẻ hấp dẫn để tải xuống nhưng thường khá nguy hiểm. Bởi vì không có quy trình phê duyệt, bất kỳ ai cũng có thể tải bất kỳ thứ gì lên các cửa hàng của bên thứ ba này - bao gồm cả phần mềm độc hại.
Để giữ an toàn, hãy tránh hoàn toàn các cửa hàng ứng dụng của bên thứ ba. Google Play đã gặp phải vấn đề nghiêm trọng với phần mềm độc hại, vì vậy không khó để tưởng tượng một nền tảng mà không có bất kỳ sự kiểm duyệt nào có thể ảnh hưởng xấu thế nào đến bảo mật của điện thoại của bạn.
Ngoài việc tránh các thị trường của bên thứ ba, đây là một số phương pháp hay nhất cần ghi nhớ khi tải xuống bất kỳ ứng dụng nào cho thiết bị Android của bạn:
- Luôn cố gắng tải xuống các ứng dụng chính thống khi có thể. Kiểm tra các bài đánh giá trước khi tải xuống và đảm bảo tìm ra bất kỳ dấu hiệu đánh giá giả mạo hoặc thao túng điểm số nào.
- Một ứng dụng có ít đánh giá mà tất cả đánh giá đều 5 sao sẽ rủi ro hơn nhiều so với một chương trình có điểm trung bình và hàng triệu lượt tải xuống.
- Nếu bạn cài đặt một ứng dụng mà bạn không chắc chắn về nó, hãy cố gắng di chuyển biểu tượng ứng dụng sang màn hình chính được sử dụng thường xuyên nhất của bạn. Nếu biểu tượng ứng dụng biến mất sau khi tải xuống, đó là dấu hiệu nghiêm trọng của phần mềm độc hại. Các nhà phát triển cố tình làm điều này để làm cho các ứng dụng khó xóa.
Nếu bạn không muốn điện thoại của mình bị xâm nhập và dữ liệu bị đánh cắp, thì việc giữ an toàn trên Android cũng dễ dàng nếu bạn chọn một trình tải xuống tin cậy. Bạn không cần hàng trăm ứng dụng và trò chơi để giải trí trên điện thoại của mình. Trong thế giới điện thoại thông minh, tất cả là chất lượng hơn số lượng.
Nguồn tham khảo: Komando