Ngụy trang tinh vi, đánh vào sự chủ quan của người dùng
Theo thông tin từ các đơn vị theo dõi an ninh mạng, DroidLock chủ yếu phát tán thông qua các trang web quảng bá ứng dụng bên ngoài kho Google Play. Tại đây, mã độc được giới thiệu như một ứng dụng tiện ích, công cụ hỗ trợ hoặc bản cập nhật cần thiết cho thiết bị.
Khi người dùng tải về và cài đặt, ứng dụng sẽ liên tục yêu cầu cấp các quyền truy cập quan trọng, trong đó có quyền quản trị thiết bị và quyền trợ năng. Đây là những quyền cho phép can thiệp sâu vào hệ thống Android, thường chỉ được cấp cho các ứng dụng đặc thù. Tuy nhiên, do giao diện và lời dẫn được thiết kế khá thuyết phục, không ít người đã chấp thuận mà không kiểm tra kỹ.
Chỉ sau vài thao tác, DroidLock bắt đầu hoạt động âm thầm, che phủ màn hình và ẩn các thông báo hệ thống, khiến người dùng khó nhận ra rằng điện thoại đã bị can thiệp.
Khi điện thoại bị chiếm quyền kiểm soát hoàn toàn
Một khi đã có đủ quyền cần thiết, DroidLock có thể thực hiện hàng loạt hành vi nguy hiểm. Mã độc này có khả năng khóa thiết bị từ xa, tự động thay đổi mã PIN hoặc hình vẽ mở khóa, thậm chí kích hoạt các thao tác xóa dữ liệu hoặc khôi phục cài đặt gốc.
Đáng chú ý, quá trình chiếm quyền thường diễn ra khi điện thoại không được sử dụng. Trong thời gian này, thông tin bảo mật bị thay đổi mà chủ thiết bị không hề hay biết. Đến khi mở lại máy, người dùng mới phát hiện mình không thể truy cập điện thoại bằng bất kỳ cách nào.
Ở thời điểm đó, toàn bộ dữ liệu cá nhân, hình ảnh, tài khoản và thông tin quan trọng đều nằm ngoài tầm kiểm soát của chủ sở hữu.
Đe dọa xóa dữ liệu để ép nạn nhân trả tiền
Sau khi khóa thành công thiết bị, kẻ tấn công sẽ gửi thông báo yêu cầu tiền chuộc. Nội dung thường đi kèm cảnh báo rằng toàn bộ dữ liệu trên điện thoại sẽ bị xóa vĩnh viễn nếu nạn nhân không thanh toán trong vòng 24 giờ.
Không giống các loại ransomware truyền thống vốn mã hóa dữ liệu, DroidLock chủ yếu sử dụng biện pháp khóa quyền truy cập và đe dọa xóa dữ liệu để gây áp lực tâm lý. Tuy nhiên, nguy cơ mất trắng thông tin cá nhân vẫn là rất lớn, đặc biệt với những người không có bản sao lưu dữ liệu.
Việc liên lạc và hướng dẫn thanh toán thường được thực hiện qua các địa chỉ email được thiết kế nhằm che giấu danh tính, khiến việc truy vết trở nên khó khăn.
Nguy cơ lan rộng không chỉ giới hạn ở một khu vực
Ban đầu, các trường hợp bị ảnh hưởng được ghi nhận chủ yếu tại châu Âu, song các chuyên gia cảnh báo rằng hình thức tấn công này có thể nhanh chóng lan sang nhiều quốc gia khác. Khi thói quen tải ứng dụng từ nguồn không chính thống vẫn còn phổ biến, nguy cơ DroidLock hoặc các biến thể tương tự xuất hiện tại nhiều thị trường là điều khó tránh khỏi.
Đáng lo ngại hơn, không có một “ứng dụng DroidLock” cố định để người dùng nhận diện. Mã độc này liên tục thay đổi hình thức, tên gọi và giao diện, khiến việc phát hiện bằng mắt thường gần như không khả thi.
Làm thế nào để tự bảo vệ điện thoại?
Trước mối đe dọa ngày càng tinh vi, người dùng Android được khuyến cáo cần cẩn trọng hơn trong quá trình cài đặt ứng dụng. Việc tải phần mềm từ các nguồn ngoài Google Play tiềm ẩn rủi ro lớn, đặc biệt khi ứng dụng yêu cầu quyền truy cập sâu vào hệ thống.
Ngoài ra, người dùng nên chú ý đến các dấu hiệu bất thường sau khi cài ứng dụng mới, như điện thoại hoạt động chậm, xuất hiện lớp phủ lạ trên màn hình, hoặc các thiết lập bảo mật bị thay đổi mà không rõ lý do.
Bên cạnh đó, việc sao lưu dữ liệu định kỳ là biện pháp quan trọng giúp giảm thiểu thiệt hại trong trường hợp xấu nhất. Khi dữ liệu đã được lưu trữ an toàn, các chiêu trò tống tiền sẽ mất đi phần lớn tác dụng.
Trong bối cảnh tội phạm mạng không ngừng thay đổi cách thức tấn công, sự cảnh giác của người dùng vẫn là lớp phòng vệ đầu tiên và quan trọng nhất. Chỉ một lần cài đặt thiếu kiểm soát cũng có thể khiến chiếc điện thoại – và toàn bộ dữ liệu bên trong – rơi vào tay kẻ xấu.
