Kể từ tháng hai, một chủng phần mềm độc hại mới có tên HummingBad đã tìm được cách lây nhiễm cho hơn 10 triệu thiết bị di động chạy hệ điều hành Android trên toàn thế giới. Thông tin này được công ty chuyên về bảo mật di động Check Point cho biết. Tuy nhiên, điều đáng lo ngại hơn là công ty Check Point chỉ ra rằng HummingBad là sản phẩm của một nhóm “các tội phạm mạng được tổ chức chặt chẽ của Trung Quốc và đang làm việc cùng công ty phân tích dữ liệu có trị giá hàng triệu đô-la Yingmob đến từ Bắc Kinh." Thậm chí còn được biên chế thành hẳn một bộ phận dành phát triển HummingBad nhưng lại mang tên gọi tưởng chừng như vô hại 'Nhóm phát triển dành cho nền tảng nước ngoài', với 25 nhà phát triển ứng dụng được chia thành “bốn nhóm nhỏ riêng lẻ,” mà mỗi nhóm sẽ chịu trách nhiệm duy trì các thành phần riêng biệt cấu thành nên malware HummingBad. Trong khi đó, công ty Yingmob sẽ đảm trách nhiệm vụ chia sẻ các nguồn tài nguyên, bao gồm hệ thống máy chủ và các chứng chỉ cần thiết để giúp cài đặt ứng dụng, với HummingBad.
Về cơ bản, malware HummingBad lây nhiễm chủ yếu thông qua hình thức dụ dỗ tải về “drive-by download,” hoặc tự cài đặt nó lên các thiết bị đã lỡ truy cập vô các trang web bị lây nhiễm từ trước đó. Nhưng mọi chuyện không đơn giản như thế nếu biết được mã nguồn phát triển nên HummingBad vừa được mã hóa lẫn có chức năng kiên trì đeo bám mục tiêu bằng nhiều cách cho đến khi nào thành công, tức lây nhiễm lên thiết bị, mới thôi.
Bước lây nhiễm đầu tiên mà phần mềm độc hại HummingBad thực hiện được gọi là “silent operation - hành động trong im lặng”, tức chạy ẩn ở background, sẽ được kích hoạt bất cứ thời điểm nào thiết bị của người dùng khởi động và màn hình bật sáng. Việc tiếp theo của HummingBad là kiểm tra xem tài khoản mà người dùng sử dụng để liên kết với thiết bị có được “root” hay không — đại khái là có các quyền quản trị cao cấp cho phép vượt qua các khâu kiểm tra bảo mật — và nếu đúng là tài khoản có quyền quản trị cao cấp thì nó sẽ tự truy cập không giới hạn vô các tập tin và thư mục hiện diện trên thiết bị của người dùng. Trong trường hợp bị thất bại thì phần mềm này sẽ tự... root thiết bị luôn bằng cách khai thác “các lỗ hổng nào đó” cho đến khi nó tìm được lỗ hổng thích hợp và thành công mới thôi.
Mặc dù ghê gớm và kiên trì như vậy, nhưng phần mềm HummingBad thậm chí có cả kế hoạch B dự phòng: khai thác kỹ thuật xã hội. Tức nó sẽ mở ra một cửa sổ thông báo về một “bản cập nhật hệ thống" sắp được phát hành, trong khi thực tế đó là cái bẫy lừa gạt những người dùng cả tin. Trong trường hợp nạn nhân thiếu cẩn thận cho phép thực hiện “cập nhật,” thì ngay tức khắc HummingBad tiến hành kết nối đến một máy chủ từ xa để tải về và kích hoạt các ứng dụng bên ngoài khác. Khả năng đó có thể là một phần mềm keylogger cho phép ghi lại mọi thao tác trên bàn phím của người dùng “mà thậm chí có khả năng vượt qua quy trình mã hóa nghiêm ngặt của thiết bị dành cho người dùng doanh nghiệp,” công ty bảo mật Check Point cho biết thêm.
Theo thông tin từ công ty Check Point thì Yingmob hiện đang kiếm được đến 300.000 USD mỗi tháng — tức 4 triệu USD mỗi năm — nhờ vào doanh thu quảng cáo gian lận. Nhưng trong trường hợp xấu nhất thì công ty này còn có thể bán các dữ liệu cá nhân thu thập được từ các thiết bị bị lây nhiễm phần mềm độc hại HummingBad.
Công ty Check Point cho biết thêm số nạn nhân của phần mềm HummingBad nhiều nhất là ở Trung Quốc và Ấn Độ với lần lượt 1,6 triệu trường hợp và 1,35 triệu trường hợp. Các quốc gia như Philippines, Indonesia và Thổ Nhĩ Kỳ có số nạn nhân đang ngấp nghé top đầu của danh sách. Riêng ở Mỹ có 288.800 thiết bị bị lây nhiễm. Ở vương quốc Anh và Úc may mắn có chưa đến 100.000 thiết bị trở thành nạn nhân.
Check Point không phải là công ty duy nhất đang theo dõi mánh lới kinh doanh quỷ quyệt của Yingmob và phần mềm HummingBad, người phát ngôn của công ty Google cũng cho biết "từ lâu đã lưu tâm đến sự biến hóa muôn mặt của các phần mềm độc hại", và họ đang liên tục cải thiện cơ chế an ninh giúp phát hiện và ngăn chặn sớm. "Chúng tôi đang chủ động thực hiện việc ngăn chặn cài đặt các ứng dụng đã bị lây nhiễm mã độc để giữ cho dữ liệu và thông tin của người dùng được an toàn," người phát ngôn của Google cho biết thêm. Tuy nhiên, cũng theo thông tin từ công ty Check Point thì bộ phần mềm độc hại của Yingmob giờ đây đã vươn vòi bạch tuộc đến 85 triệu thiết bị điện thoại và máy tính bảng, đồng thời thực hiện tự động cài đặt hơn 50.000 ứng dụng mỗi ngày. Quả là những con số khủng khiếp đang đe dọa an toàn thông tin cho những ai sử dụng thiết bị di động chạy hệ điều hành Android...
Nguồn Digital Trends
