Cảnh báo chiến dịch biến điện thoại Android thành công cụ gián điệp

Tin tặc sử dụng một chiêu thức quen thuộc nhưng cực kỳ hiệu quả: Tạo ra các phiên bản giả mạo của những ứng dụng phổ biến nhất như WhatsApp, TikTok, Google Photos và YouTube để lừa người dùng cài đặt.

Chiến dịch này sử dụng kết hợp các kênh Telegram và website lừa đảo để phát tán mã độc.

Theo báo cáo từ công ty an ninh mạng Zimperium, chuỗi tấn công của ClayRat được dàn dựng rất bài bản.

Đầu tiên, người dùng bị dẫn dụ đến các trang web giả mạo, hứa hẹn cung cấp các phiên bản "Plus" của ứng dụng với tính năng cao cấp ví dụ như YouTube Plus.

Từ các trang web này, nạn nhân được điều hướng đến các kênh Telegram do kẻ tấn công kiểm soát. Tại đây, chúng sử dụng các chiêu trò như tăng số lượt tải xuống một cách giả tạo và tung ra các lời chứng thực giả mạo để tạo cảm giác ứng dụng đáng tin cậy.

Sau đó, nạn nhân bị lừa tải về và cài đặt tệp APK chứa mã độc ClayRat.

"Khi đã xâm nhập thành công, phần mềm gián điệp này có thể đánh cắp tin nhắn SMS, nhật ký cuộc gọi, thông báo và thông tin thiết bị; bí mật chụp ảnh bằng camera trước và thậm chí tự động gửi tin nhắn hoặc thực hiện cuộc gọi từ chính máy của nạn nhân", chuyên gia an ninh mạng Vishnu Pratapagiri của Công ty Zimperium cho biết.

Điểm đáng sợ nhất của ClayRat không chỉ dừng lại ở việc đánh cắp dữ liệu. Nó được thiết kế để tự nhân bản, phần mềm độc hại này sẽ tự động gửi các liên kết độc hại đến tất cả mọi người trong danh bạ của nạn nhân, biến chiếc điện thoại bị nhiễm thành một nút phát tán virus, giúp kẻ tấn công mở rộng quy mô mà không cần can thiệp thủ công.

Trong 90 ngày qua, Zimperium đã phát hiện không dưới 600 mẫu mã độc và 50 ứng dụng "mồi" cho thấy kẻ tấn công đang liên tục cải tiến, thêm các lớp ngụy trang mới để né tránh các phần mềm bảo mật.

Vượt qua rào cản

Đối với các thiết bị chạy Android 13 trở lên với các biện pháp bảo mật được siết chặt, ClayRat sử dụng một thủ thuật tinh vi hơn. Ứng dụng giả mạo ban đầu chỉ là một trình cài đặt gọn nhẹ.

Khi được khởi chạy, nó sẽ hiển thị một màn hình cập nhật cửa hàng Play giả, trong khi âm thầm tải và cài đặt mã độc chính đã được mã hóa ẩn bên trong.

Sau khi cài đặt, ClayRat sẽ yêu cầu người dùng cấp quyền trở thành ứng dụng SMS mặc định để có thể truy cập và kiểm soát hoàn toàn tin nhắn cũng như nhật ký cuộc gọi.

Sự xuất hiện của ClayRat là một phần của xu hướng đáng lo ngại hơn về bảo mật trên hệ sinh thái Android.

Mới đây, một nghiên cứu từ Đại học Luxembourg cũng chỉ ra rằng nhiều điện thoại thông minh Android giá rẻ được bán ở châu Phi có cài đặt sẵn các ứng dụng hoạt động với đặc quyền cao, âm thầm gửi dữ liệu định danh và vị trí của người dùng cho bên thứ ba.

Phía Google cho biết người dùng Android sẽ được bảo vệ tự động khỏi các phiên bản đã biết của phần mềm độc hại này thông qua Google Play Protect, một tính năng được bật mặc định trên các thiết bị có Dịch vụ Google Play.

Tuy nhiên, mối đe dọa từ các biến thể mới và các nguồn cài đặt không chính thống vẫn là một lời cảnh báo cho tất cả người dùng.