Trong bối cảnh đại dịch COVID-19 tiếp tục bùng phát, tội phạm mạng đang gia tăng hoạt động, gây ra ảnh hưởng lớn đến các tổ chức, doanh nghiệp (DN) có nhân viên làm việc từ xa. Tin tặc đã lạm dụng một loạt kỹ thuật để xâm nhập vào các tổ chức, DN cũng như thiết bị cá nhân, đặc biệt là điện thoại di động để tạo ra các mối đe dọa mạnh mẽ hơn.
Theo Laura Kankaala, hacker mũ trắng và cố vấn bảo mật của F-Secure, chuyên gia về mã độc và phần mềm theo dõi trên nền tảng Android, điện thoại thông minh đã trở thành một phần không thể thiếu của chúng ta và là nơi lưu trữ nhiều thông tin nhạy cảm. Do đó, đây luôn là miếng mồi hấp dẫn đối với tin tặc.
Kết quả quan trắc từ xa toàn cầu về bảo vệ thiết bị điểm cuối của F-Secure cho thấy số lượng các ứng dụng độc hại trên di động đang tăng nhanh. Trong đó, những mối đe dọa hàng đầu hay gặp là kiếm tiền bằng cách hiển thị quảng cáo trên điện thoại, hay thực hiện các hoạt động mà không thông báo cho người dùng, chẳng hạn đọc SMS, tải về các ứng dụng khác hoặc mã độc trojan ngân hàng bên trong các ứng dụng ngân hàng hợp lệ để lấy trộm thông tin truy nhập, sau đó gửi thông tin truy nhập về cho đối tượng thực hiện đe dọa.
Khai thác kỹ thuật phủ giao diện (Overlays) trong các ứng dụng độc hại
59% các ứng dụng độc hại mà F-Secure đã phát hiện trong 30 ngày qua có các từ như "thư thoại", "chrome" hoặc "trình phát video" trong tên gọi. Vì vậy, nếu bạn cài đặt một ứng dụng và trong tên của ứng dụng đó có những từ ngữ như trên, bạn nên kiểm tra kỹ lại xem bạn có thực sự cần ứng dụng cụ thể đó hay không, bạn có thực sự muốn tìm kiếm ứng dụng đó hay không và liệu bạn có bị tác động bởi các cuộc tấn công phi kỹ thuật để cài đặt ứng dụng đó hay không.
Flubot, một mã độc mà F-Secure thấy đang lây lan khắp châu Âu từ quý 2 năm nay, thường được gửi đến điện thoại dưới dạng một liên kết trong một tin nhắn SMS. Và tin nhắn này có thể sử dụng tên của các dịch vụ vận chuyển như FedEx. Số lượng tin nhắn phát tán Flubot đã tăng đều đặn từ tháng 4 đến tháng 8 năm nay, và tăng đột biến vào tháng 9.
Sau khi được cài đặt, mã độc này sẽ đưa ra hướng dẫn để bật "Dịch vụ trợ năng" (Accessibility Service) trên thiết bị di động cho ứng dụng chứa mã độc này. Việc kích hoạt chức năng "trợ năng" rất quan trọng đối với hoạt động của Flubot, vì là chức năng này nhằm hỗ trợ người khuyết tật, các quyền "trợ năng" này có khả năng kiểm soát thiết bị rất mạnh.
Ví dụ, một ứng dụng có thể đọc thông tin bạn đang nhập vào một ứng dụng khác. Có nghĩa là ứng dụng này có thể ghi lại các lần gõ phím. Ứng dụng đó cũng có thể đọc tin nhắn SMS, thậm chí có thể gửi tin nhắn SMS từ điện thoại của bạn. Vì được quyền truy cập vào danh sách liên hệ trên thiết bị, ứng dụng này cũng có thể gửi những thông tin liên hệ đó cho kẻ tấn công, để sau này chúng có thể thực hiện các cuộc tấn công tới các số điện thoại đó. Khi được quyền trợ năng, Flubot có thể tự cấp thêm cho mình các đặc quyền bổ sung như ẩn biểu tượng của nó khỏi trình khởi chạy, gây khó khăn cho bạn trong việc tìm và gỡ nó ra khỏi hệ thống.
Flubot chính là một loại mã độc điển hình sử dụng kỹ thuật phủ giao diện. Theo đó ứng dụng phủ tạo ra một giao diện trong suốt phủ trên giao diện của ứng dụng bị phủ, trong đó trường dữ liệu nhập tên người dùng và mật khẩu là phần tương tác duy nhất thuộc về ứng dụng phủ. Chẳng hạn, người dùng có thể thấy ứng dụng ngân hàng, nhưng không nhận thấy rằng các trường văn bản để nhập thông tin xác thực không thuộc về ứng dụng ngân hàng. Vì vậy, người dùng sẽ nhập thông tin đăng nhập vào các trường của ứng dụng phủ thay vì nhập vào các trường của ứng dụng ngân hàng. Ứng dụng phủ này chính là ứng dụng độc hại.
64% lượt phát hiện phần mềm theo dõi đến từ các ứng dụng trên Google Play
Phần mềm theo dõi (stalkerware) là một ứng dụng có thể được sử dụng để theo dõi vị trí, ghi lại các cuộc trò chuyện, giám sát thông báo từ các ứng dụng nhắn tin, v.v. của bạn. Kết quả phân tích dữ liệu phát hiện phần mềm theo dõi trong hệ thống của khách hàng của F-Secure từ tháng 1 năm ngoái cho thấy số lượng phần mềm theo dõi bị phát hiện đang tăng đều đặn.
Kể từ tháng 1 năm nay, 64% lần phát hiện phần mềm theo dõi đều xuất phát chỉ từ 3 ứng dụng. Và tất cả các ứng dụng này đều nằm trên Google Play. Nói cách khác, đã phát hiện được 152 ứng dụng Android khác nhau có phần mềm theo dõi, nhưng chỉ 3 ứng dụng trong số đó tạo ra 64% lần phát hiện. Google được coi là kho ứng dụng đầu tiên mà người dùng nghĩ đến khi họ muốn tìm kiếm các loại ứng dụng, và nếu họ tìm thấy các ứng dụng này ở đó, thì họ sẽ không tìm ở nơi khác nữa.
36% lượt phát hiện còn lại đến từ các ứng dụng chủ yếu được tải xuống hoặc cài đặt bên ngoài Google Play. Lý do là Android cho phép thực hiện các loại cài đặt đó. Nếu bạn sử dụng iPhone, trên Apple App Store cũng có các biến thể phần mềm theo dõi như MLite.
Các phần mềm theo dõi thường yêu cầu các quyền gần giống nhau. Đầu tiên phần mềm theo dõi đã yêu cầu quyền đọc từ lưu trữ ngoài Read_External_Storage (87% ứng dụng). Quyền này cho phép phần mềm theo dõi truy cập vào thông tin như ảnh, video hoặc các tệp khác. Thứ hai, 86% phần mềm theo dõi cũng yêu cầu quyền truy cập thông tin định vị chính xác Access_Fine_Location được sử dụng để truy cập vị trí chính xác của thiết bị. Tiếp theo, 79% phần mềm theo dõi muốn truy cập camera, quyền này cho phép phần mềm theo dõi chụp ảnh và quay phim tại bất kỳ thời điểm nào. Và cuối cùng, 72% phần mềm theo dõi muốn có quyền ghi âm để nghe trộm nạn nhân, chẳng hạn trong một cuộc gọi điện thoại.
Những khuyến nghị cho người dùng
Mặc dù các tác nhân đe dọa luôn nhắm mục tiêu tấn công thiết bị di động nhưng chúng ta hoàn toàn có thể tự bảo vệ mình. Dưới đây là một số khuyến nghị của bà Laura Kankaala.
Trước hết, chúng ta cần định kỳ kiểm tra những ứng dụng mà chúng ta luôn mang theo bên mình. Và loại bỏ những ứng dụng không thực sự cần thiết. Vô hiệu hóa ứng dụng được cài đặt với tư cách là quản trị viên. Và nếu ứng dụng được tải xuống hoặc được cài đặt từ bên ngoài Google Play và không thể gỡ cài đặt được bằng các phương pháp thông thường, hãy khởi động qua chế độ an toàn để gỡ ứng dụng đó. Gỡ bỏ các ứng dụng không sử dụng không chỉ giúp bạn an toàn mà còn giúp điện thoại của bạn chạy nhanh hơn và giảm khả năng bạn có thể bị tấn công.
Thứ hai là tin nhắn, điểm xâm nhập của mã độc và các liên kết lừa đảo hoặc các liên kết dẫn tới mã độc khai thác lỗ hổng bảo mật. Nếu bạn nghi ngờ, đừng đọc tin nhắn. Bạn có thể xóa tin nhắn đó. Nhưng nếu bạn phải đọc tin nhắn, nếu bạn nhận thấy tin nhắn đáng ngờ, đừng click vào liên kết trong tin nhắn đó. Nếu không, tin nhắn này sẽ yêu cầu bạn cài đặt một ứng dụng nguy hiểm hoặc nhập tài khoản cá nhân, tài khoản ngân hàng của bạn. Chủ sở hữu hệ điều hành và nhà phát triển ứng dụng nhắn tin cần rà soát đánh giá để đảm bảo vá đầy đủ các lỗ hổng bảo mật mới nhất đã biết trong các phiên bản mới nhất của họ. Vì vậy, hãy giữ cho thiết bị di động của bạn và các ứng dụng luôn cập nhật phiên bản mới nhất.
Cuối cùng, người dùng cần lưu ý rằng máy tính để bàn không phải là thiết bị duy nhất mà hacker muốn tấn công. Điện thoại di động lại hấp dẫn chúng hơn vì điện thoại luôn ở bên chúng ta, luôn được kết nối và luôn bật. Hãy nhớ luôn cập nhật hệ điều hành của thiết bị, sử dụng phần mềm quét, diệt vi-rút đáng tin cậy và sử dụng đường truyền Internet an toàn./.