Theo các chuyên gia bảo mật, hàng triệu chiếc điện thoại Android được cập nhật đầy đủ đã dính lỗi bảo mật khiến malware có thể trộm tài khoản từ người dùng.

Các nhà nghiên cứu từ hãng Promon cho biết, lỗ hổng cho phép các ứng dụng độc hại giả dạng thành các ứng dụng hợp pháp mà người dùng đã cài đặt và tin tưởng. Được chạy dưới vỏ bọc của các ứng dụng đáng tin cậy được cài đặt, các ứng dụng độc hại có thể yêu cầu quyền để thực hiện các tác vụ nhạy cảm như ghi âm hoặc video, chụp ảnh, đọc tin nhắn văn bản hoặc lừa đảo đăng nhập. Nạn nhân bấm vào đồng ý là đã cung cấp thông tin nhạy cảm cho tin tặc.

Các nhà nghiên cứu đã cùng với Lookout, nhà cung cấp bảo mật di động và là đối tác của Promon, vào tuần rồi đã báo cáo tìm thấy 36 ứng dụng khai thác lỗ hổng giả mạo. Các ứng dụng độc hại bao gồm các biến thể của trojan ngân hàng BankBot. Trojan này đã hoạt động từ năm 2017, các ứng dụng từ họ phần mềm độc hại này đã bị phát hiện liên tục xâm nhập vào kho ứng dụng Google Play Market.

Theo Statista, đây là lỗ hổng nghiêm trọng nhất ở các phiên bản Android từ 6 đến 10, hiện chiếm khoảng 80% điện thoại Android trên toàn thế giới. Tấn công vào các phiên bản này giúp các ứng dụng độc hại yêu cầu quyền trong khi giả dạng là các ứng dụng hợp pháp. Hiện không có giới hạn đối với các quyền mà ứng dụng độc hại có thể tìm kiếm. Truy cập vào tin nhắn văn bản, hình ảnh, micrô, máy ảnh và GPS là có thể. Cách bảo vệ duy nhất của người dùng là nhấp “không” vào các yêu cầu.

Lỗ hổng được tìm thấy trong chức năng TaskAffinity, tính năng cho phép ứng dụng giả định danh tính của các ứng dụng hoặc tác vụ khác đang chạy trong môi trường đa nhiệm. Các ứng dụng độc hại có thể khai thác chức năng này bằng cách đặt TaskAffinity cho một hoặc nhiều hoạt động của nó để khớp với tên gói của những ứng dụng đáng tin cậy. Bằng cách kết hợp hoạt động giả mạo với allowTaskReparenting hoặc khởi chạy hoạt động độc hại với Intent.FLAG_ACTIVITY_NEW_TASK, các ứng dụng độc hại sẽ được đặt bên trong và ưu tiên cho task bị nhắm mục tiêu.

Hàng triệu điện thoại Android đang bị khai thác tài khoản ngân hàng

Các nhà nghiên cứu của Promon viết “Vì vậy, hoạt động độc hại chiếm đoạt nhiệm vụ của mục tiêu. Ở lần kế tiếp khi ứng dụng đích được khởi chạy từ Launcher, tác vụ bị tấn công sẽ được đưa lên trước và sẽ khởi chạy malware. Ứng dụng độc hại sau đó chỉ cần xuất hiện như ứng dụng đích để khởi chạy thành công các cuộc tấn công tinh vi lên nạn nhân. Thậm chí tin tặc có thể chiếm quyền điều khiển trước khi ứng dụng được cài đặt”.

Promon nói Google đã gỡ các ứng dụng độc hại khỏi kho Play Market, nhưng về lâu dài thì lỗ hổng dường như không được vá trên tất cả các phiên bản Android. Các nhà nghiên cứu đặt tên lỗ hổng là StrandHogg, một thuật ngữ Bắc Âu đề cập đến người Viking đã từng đột kích các khu vực ven biển để cướp bóc và bắt người dân đòi tiền chuộc. Cả Promon và Lookout đều không xác định được tên của các ứng dụng độc hại, do đó khó biết được máy của bạn có bị nhiễm hay không.

Người phát ngôn của Google đã không trả lời các câu hỏi về việc khi nào lỗ hổng sẽ được vá, có bao nhiêu ứng dụng Google Play bị phát hiện khai thác lỗ hổng, hoặc bao nhiêu người dùng cuối bị ảnh hưởng. Gã khổng lồ tìm kiếm cho biết:

“Chúng tôi đánh giá cao hoạt động từ các nhà nghiên cứu và đã đình chỉ các ứng dụng có khả năng gây hại mà họ đã xác định. Google Play Protect phát hiện và chặn các ứng dụng độc hại, bao gồm cả những ứng dụng sử dụng kỹ thuật này. Ngoài ra, chúng tôi đang tiếp tục điều tra để cải thiện Google Play Protect khả năng bảo vệ người dùng trước các vấn đề tương tự.”

StrandHogg là mối đe dọa lớn nhất đối với người dùng ít kinh nghiệm hoặc khó có thể chú ý đến các hành vi tinh vi của ứng dụng. Tuy nhiên, có một số cảnh báo người dùng có thể làm để phát hiện các ứng dụng độc hại cố gắng khai thác lỗ hổng. Dấu hiệu đáng ngờ bao gồm:

– Một ứng dụng hoặc dịch vụ mà bạn đã đăng nhập lại đang yêu cầu đăng nhập.

– Cửa sổ yêu cầu cấp quyền mở lên nhưng lại không chứa tên ứng dụng.

– Quyền được hỏi từ một ứng dụng không nên có hoặc không cần quyền mà nó yêu – cầu. Ví dụ: một ứng dụng máy tính điện tử lại yêu cầu cấp quyền truy cập GPS.

– Các lỗi cú pháp và chính tả trên giao diện người dùng.

– Các nút và liên kết trên giao diện người dùng không hoạt động khi bấm vào

– Nút Back cũng không hoạt động như bình thường.

Các nhà nghiên cứu của Promon cho biết họ đã xác định được StrandHogg sau khi tham khảo từ một công ty bảo mật đề nghị giấu tên tại Đông Âu. Công ty này cho biết một số ngân hàng ở Cộng hòa Séc đã báo cáo nhiều khoản tiền biến mất khỏi tài khoản của khách hàng. Họ đã gửi cho Promon một mẫu nghi ngờ là phần mềm độc hại. Lookout, một đối tác khác của Promon đã xác định có đến 36 ứng dụng khai thác lỗ hổng này, bao gồm các biến thể BankBot. Vẫn chưa rõ có bao nhiêu tổ chức tài chính đang trở thành mục tiêu của trojan này.

Người dùng Android một lần nữa được cảnh báo phải hết sức nghi ngờ các ứng dụng Android có sẵn cả trong và ngoài Google Play. Bạn cũng nên chú ý đến các quyền được yêu cầu bởi bất kỳ ứng dụng nào.