Theo báo cáo của các nhà nghiên cứu thuộc công ty bảo mật di động Doctor Web, một biến thể mã độc gian lận quảng cáo (click-fraud) mới vừa được phát hiện trên các thiết bị sử dụng hệ điều hành Android. Loại mã độc này được đánh giá có mức độ tinh vi cao, cho phép kẻ tấn công âm thầm điều khiển thiết bị từ xa mà người dùng gần như không hay biết.
Cách thức hoạt động của mã độc
Các chuyên gia cho biết mã độc vận hành thông qua hai cơ chế chính. Ở chế độ “phantom” (bóng ma), mã độc sử dụng một trình duyệt ẩn dựa trên WebView để tải các trang web mục tiêu. Sau khi nhận mô hình được huấn luyện từ máy chủ điều khiển, trình duyệt này sẽ hoạt động trên một màn hình ảo, tự động thực hiện các thao tác tương tác với quảng cáo, mô phỏng hành vi người dùng một cách rất tự nhiên.
Trong khi đó, ở chế độ “signalling” (báo hiệu), mã độc tận dụng giao thức WebRTC để truyền trực tiếp hình ảnh từ trình duyệt ảo về phía kẻ tấn công. Nhờ vậy, chúng có thể điều khiển thiết bị theo thời gian thực, thực hiện các thao tác như chạm màn hình, cuộn trang hay nhập văn bản từ xa.
Đáng chú ý, mã độc chủ yếu được phát tán thông qua các kho ứng dụng bên thứ ba. Ban đầu, các ứng dụng được đăng tải ở trạng thái “sạch”, không chứa thành phần độc hại. Tuy nhiên, mã độc sẽ được âm thầm cài cắm trong các bản cập nhật sau đó, nhằm qua mặt người dùng và các cơ chế kiểm soát bảo mật.
6 ứng dụng chứa mã độc bị phát hiện
Doctor Web cho biết đã xác định ít nhất 6 ứng dụng và trò chơi Android có chứa loại mã độc nói trên, với tổng số lượt tải xuống lên đến hàng trăm nghìn, gồm: Theft Auto Mafia (hơn 61.000 lượt tải), Cute Pet House (hơn 34.000 lượt), Creation Magic World (hơn 32.000 lượt), Amazing Unicorn Party (hơn 13.000 lượt), Open World Gangsters (hơn 11.000 lượt) và Sakura Dream Academy (hơn 4.000 lượt).
Hệ lụy và khuyến cáo từ chuyên gia
Dù không trực tiếp xâm phạm dữ liệu cá nhân, loại mã độc gian lận quảng cáo này vẫn gây ảnh hưởng đáng kể đến thiết bị của người dùng. Việc âm thầm vận hành các trình duyệt ảo và liên tục tạo tương tác khiến điện thoại nhanh hao pin, giảm độ bền phần cứng và làm phát sinh lượng tiêu thụ dữ liệu di động lớn hơn bình thường.
Trước nguy cơ này, các chuyên gia bảo mật khuyến nghị người dùng Android không cài đặt ứng dụng từ các nguồn không chính thức. Việc chỉ tải ứng dụng từ Google Play và các nền tảng uy tín sẽ giúp hạn chế tối đa nguy cơ nhiễm phần mềm độc hại bị cài cắm thông qua các bản cập nhật ngầm.
