Theo công ty bảo mật Check Point, có 38 mẫu điện thoại Android thuộc về 1 công ty viễn thông và 1 công ty đa quốc gia lớn bị nhiễm malware. Chưa rõ các công ty này có phân phối điện thoại ra thị trường hay không vì Check Point không đề cập tới tên hay lĩnh vực của họ một cách cụ thể. Điểm đáng chú ý là đám malware này không phải lây vào máy vì người dùng mà nó được nhúng sẵn trong ROM, trong đó có 1 phần mềm quảng cáo nguy hiểm vì có thể chiếm quyền root, và 1 ransomware có khả năng mã hóa dữ liệu để đòi tiền chuộc, những con malware còn lại thì đánh cắp thông tin của người dùng.
Check Point cẩn thận nhấn mạnh rằng ROM gốc của nhà sản xuất hoàn toàn sạch, nhưng vì lý do nào đó mà malware đã được thêm vào trong quá trình thiết bị đi tới tay người dùng. Có lẽ trong giai đoạn tùy biến hay thêm thắt các công cụ của doanh nghiệp thì bị dính.
Có tới 6 malware bị chèn vào ROM bằng quyền root, tức là người dùng bình thường không thể tự gỡ chúng ra mà cần phải flash lại máy mới được. Chúng chủ yếu thu thập, đánh cắp thông tin của người dùng, một số là adware chuyên hiện quảng cáo trái phép.
Nguy hiểm nhất có adware Loki với khả năng truy cập quyền root để tự cài nó vào hệ thống. Con malware này được đánh giá là phức tạp vì nó sử dụng nhiều thành phần khác nhau khi hoạt động, mỗi phần đều có chức năng và vai trò riêng nhằm mục đích cuối cùng là hiển thị quảng cáo trái phép rồi lấy doanh thu từ đó. Chưa hết, trong quá trình hoạt động, nó còn đánh cắp dữ liệu về thiết bị, tự cài mình vào phân vùng system của Android (chung chỗ lưu các app cài sẵn) bằng quyền root nhằm chiếm quyền điểu khiển toàn máy và đảm bảo không bị gỡ bỏ dễ dàng.
Ngoài ra còn có vài máy bị nhiễm ransomware Slocker, nó mã hóa file của người dùng nhằm đòi tiền chuộc. Slocker hoạt động bằng cách dùng thuật toán mã hóa AES để khóa file lại, bạn không thể mở những file này ra và để có được chìa khóa giải mã bạn buộc phải trả tiền cho hacker. Tất nhiên khi trao tiền rồi thì có trời mới biết chìa khóa mà hắn giao cho bạn có thật hay không nên rủi ro của ransomware là rất lớn. Slocker còn dùng giao thức Tor để liên lạc với trung tâm điều khiển (C&C - command and control) để tránh bị truy ra nguồn gốc. Anh em có thể xem thêm về ransomware ở đây.
Vụ việc này cho thấy malware của thể tấn công người dùng ngay cả khi họ rất cẩn thận không bấm vào link bậy hay cài các phần mềm mã độc. Việc malware bị lây nhiễm sẵn từ gốc là rất hiếm nhưng một khi đã xảy ra thì người dùng gần như không thể nhận biết, không thể thấy được sự khác biệt về hiệu năng gì cả. Chưa hết, vì chúng được cài vào hệ thống khiến quá trình gỡ bỏ sẽ rất khó khăn nếu muốn nói là không thể đối với người dùng phổ thông. Cách tốt nhất lúc này chỉ còn là flash lại ROM sạch từ chính hãng sản xuất mà thôi. Nếu anh em root máy rồi gỡ bỏ thì cũng chưa chắc gỡ hết.
Cũng cần lưu ý là danh sách các máy bị lây nhiễm bên dưới không đại diện cho tất cả các máy bán ra vì như đã nói ở trên, Check Point không đề cập cụ thể công ty viễn thông và công ty đa quốc gia mà họ nói là ai. Có thể họ là một nhà mạng nào đó, có thể họ là 2 nhà phân phối, nhưng cũng có thể họ chỉ đơn giản là 2 doanh nghiệp mua máy về sử dụng. Check Point cũng không biết liệu cuộc tấn công là có mục tiêu cụ thể hay đây là một phần trong âm mưu lớn hơn, họ không biết điện thoại được mua từ đâu. Anh em chưa cần phải lo lắng quá. Có thông tin nào mới mình sẽ cập nhật thêm cho anh em.
Danh sách 38 model máy bị Check Point phát hiện là lây nhiễm
Check Point cẩn thận nhấn mạnh rằng ROM gốc của nhà sản xuất hoàn toàn sạch, nhưng vì lý do nào đó mà malware đã được thêm vào trong quá trình thiết bị đi tới tay người dùng. Có lẽ trong giai đoạn tùy biến hay thêm thắt các công cụ của doanh nghiệp thì bị dính.
Có tới 6 malware bị chèn vào ROM bằng quyền root, tức là người dùng bình thường không thể tự gỡ chúng ra mà cần phải flash lại máy mới được. Chúng chủ yếu thu thập, đánh cắp thông tin của người dùng, một số là adware chuyên hiện quảng cáo trái phép.
Nguy hiểm nhất có adware Loki với khả năng truy cập quyền root để tự cài nó vào hệ thống. Con malware này được đánh giá là phức tạp vì nó sử dụng nhiều thành phần khác nhau khi hoạt động, mỗi phần đều có chức năng và vai trò riêng nhằm mục đích cuối cùng là hiển thị quảng cáo trái phép rồi lấy doanh thu từ đó. Chưa hết, trong quá trình hoạt động, nó còn đánh cắp dữ liệu về thiết bị, tự cài mình vào phân vùng system của Android (chung chỗ lưu các app cài sẵn) bằng quyền root nhằm chiếm quyền điểu khiển toàn máy và đảm bảo không bị gỡ bỏ dễ dàng.
Ngoài ra còn có vài máy bị nhiễm ransomware Slocker, nó mã hóa file của người dùng nhằm đòi tiền chuộc. Slocker hoạt động bằng cách dùng thuật toán mã hóa AES để khóa file lại, bạn không thể mở những file này ra và để có được chìa khóa giải mã bạn buộc phải trả tiền cho hacker. Tất nhiên khi trao tiền rồi thì có trời mới biết chìa khóa mà hắn giao cho bạn có thật hay không nên rủi ro của ransomware là rất lớn. Slocker còn dùng giao thức Tor để liên lạc với trung tâm điều khiển (C&C - command and control) để tránh bị truy ra nguồn gốc. Anh em có thể xem thêm về ransomware ở đây.
Vụ việc này cho thấy malware của thể tấn công người dùng ngay cả khi họ rất cẩn thận không bấm vào link bậy hay cài các phần mềm mã độc. Việc malware bị lây nhiễm sẵn từ gốc là rất hiếm nhưng một khi đã xảy ra thì người dùng gần như không thể nhận biết, không thể thấy được sự khác biệt về hiệu năng gì cả. Chưa hết, vì chúng được cài vào hệ thống khiến quá trình gỡ bỏ sẽ rất khó khăn nếu muốn nói là không thể đối với người dùng phổ thông. Cách tốt nhất lúc này chỉ còn là flash lại ROM sạch từ chính hãng sản xuất mà thôi. Nếu anh em root máy rồi gỡ bỏ thì cũng chưa chắc gỡ hết.
Cũng cần lưu ý là danh sách các máy bị lây nhiễm bên dưới không đại diện cho tất cả các máy bán ra vì như đã nói ở trên, Check Point không đề cập cụ thể công ty viễn thông và công ty đa quốc gia mà họ nói là ai. Có thể họ là một nhà mạng nào đó, có thể họ là 2 nhà phân phối, nhưng cũng có thể họ chỉ đơn giản là 2 doanh nghiệp mua máy về sử dụng. Check Point cũng không biết liệu cuộc tấn công là có mục tiêu cụ thể hay đây là một phần trong âm mưu lớn hơn, họ không biết điện thoại được mua từ đâu. Anh em chưa cần phải lo lắng quá. Có thông tin nào mới mình sẽ cập nhật thêm cho anh em.
Danh sách 38 model máy bị Check Point phát hiện là lây nhiễm
- Galaxy Note 2
- LG G4
- Galaxy S7
- Galaxy S4
- Galaxy Note 4
- Galaxy Note 5
- Galaxy Note 8 (tablet)
- Xiaomi Mi 4i
- Galaxy A5
- ZTE x500
- Galaxy Note 3
- Galaxy Note Edge
- Galaxy Tab S2
- Galaxy Tab 2
- Oppo N3
- vivo X6 plus
- Nexus 5
- Nexus 5X
- Asus Zenfone 2
- LenovoS90
- OppoR7 plus
- Xiaomi Redmi
- Lenovo A850
Nguồn: Check Point