Joker - Chú hề “mã độc”

Kẻ âm thầm "ăn cắp phí" người dùng

Hẳn với số đông nhiều người, khi nhắc tới cái tên Joker, đó là nhân vật chú hề phản diện, xuất hiện trong các bộ phim: Biệt đội cảm tử Người dơi, Kỵ sĩ bóng đêm, superman, người dơi trở lại… Qua các bộ phim đó, điều gây ấn tượng không tốt qua nhân vật này, chính là vết sẹo, nụ cười man rợ đến lạnh người cùng ánh mắt đỏ ngàu nhìn thấy tâm can người đối diện.

Ở lần này lại khác, nhắc đến Joker không phải trên lĩnh vực nghệ thuật, điện ảnh, mà là trên phương diện công nghệ, mạng Internet, một "chú hề" cùng tên Joker- chứa mã độc phá hoại, đang phát tán trên điện thoại smartphone sử dụng hệ điều hành Android. Mã độc Joker khi tấn công vào tài khoản người dùng, nếu là thẻ tín dụng, số tiền đó coi như không thể lấy lại.

Mới đây, các chuyên gia bảo mật của công ty Check Point Software Technologies - chuyên cung cấp phần mềm, sản phẩm phần cứng, bảo mật thiết bị đầu cuối, di động và quản lý an ninh có trụ sở tại Israel vừa đưa ra cảnh báo về sự nguy hiểm quay trở lại của mã độc Joker phiên bản mới đang tấn công người dùng trên các thiết bị sử dụng ứng dụng Android. Mã độc Joker từng xuất hiện năm 2017.

Theo đó, mã độc Joker hoạt động núp bóng các ứng dụng hợp pháp, mã hóa các dữ liệu để gian lận thanh toán, ăn cắp phí, đăng ký các tài khoản các dịch vụ chi phí cao. Chúng đánh lừa và ngụy trang kín đáo trên các ứng dụng tin cậy để rồi dễ dàng đánh cắp tin nhắn SMS, danh sách liên lạc và thông tin lưu trữ trên các thiết bị mà người dùng không hề hay biết.

Các chuyên gia bảo mật cho biết, mã độc mới Joker hoạt động tinh vi, ẩn dưới các mã thực thi DEX độc hại bên trong ứng dụng dưới dạng chuỗi mã hóa các tập tin đa phương tiện (Base64). Đây là thế mạnh, khôn khéo mà Joker đã tận dụng file manifest của ứng dụng, thường được dùng để tải một file DEX được mã hóa Base64. Và sau khi xâm nhập được vào thiết bị của người dùng, các chuỗi này sẽ được giải mã, sau đó tự động khởi chạy.

Để che dấu bản chất thật của mình, những kẻ đứng đằng sau Joker đã sử dụng rất nhiều phương pháp khác nhau, sử dụng cách bảo mật chuỗi để tránh bị công cụ phân tích phát hiện, mua lượt đánh giá giả để thu hút người dùng tải ứng dụng. Tinh vi hơn, Joker có khả năng lập nhiều phiên bản mới, đưa lên Play Store một ứng dụng sạch, chất lượng để thu hút người dùng tải về sau đó âm thầm cập nhật thêm các mã độc.

Bên cạnh đó, cũng theo các chuyên gia bảo mật của Check Point, biến thể phiên bản lần này của Joker còn sử dụng kỹ thuật tấn công mới thông qua hai bộ phận chính: Notification Listener của ứng dụng gốc và file dex động (dynamic dex file) được tải từ máy chủ C&C để thực hiện việc đăng ký, đây được coi là chức năng như một lớp bên trong ứng dụng chính và tải nó thông qua reflection APIs.

Với việc ngụy trang "ranh ma" đó, Joker có thể tấn công, tác động từ xa đến người dùng và dễ dàng phát hành một mã trạng thái (status code) sai lệch từ một máy chủ C&C mà chúng kiểm soát để tránh bị người dùng phát hiện.

Như vậy, với những phát hiện của Check Point về Joker, đây được coi như một cảnh báo về sự phát triển không ngừng của các mã độc Android, nó như thông điệp nhắc nhở những nhà phát triển và người dùng luôn phải phòng vệ đối với hệ điều hành dễ bị tấn công này.

Và động thái được coi là bảo vệ người dùng trên các thiết bị di động sử dụng ứng dụng Android của Google là sau khi nhận được những cảnh cáo từ Check Point, Google đã xóa 11 ứng dụng chứa mã độc Joker khỏi Play Store cuối tháng 4 vừa qua.

Tuy nhiên với các chuyên gia bảo mật Check Point, thế vẫn là chưa đủ, kẻ đứng sau bóng tối, tin tặc và phần mềm độc hại, trong đó có Joker luôn tiềm ẩn những hậu quả khó lường, do vậy, người dùng luôn cần sức mạnh sự chủ động, tích cực phát hiện, ngăn chặn, tiêu diệt các mã độc mới hoặc cũ đang trở lại tấn công người dùng hiện nay.

Chuyên gia khuyến cáo người dùng

Mã độc Joker xuất hiện từ năm 2017, trong thời gian không lâu sau, nó đã nhiều lần bị xóa khỏi Play Store, thế nhưng mã độc "mặt sẹo" vẫn dai dẳng chờ cơ hội để tìm cách xâm nhập, tấn công tài khoản người dùng trên các thiết bị, ứng dụng Android.

Theo con số thống kê từ các công ty chuyên về an ninh mạng, tính đến giữa tháng 9 năm ngoái, mã độc Joker đã bị phát tán trong 24 ứng dụng Android với hơn 472.000 lượt tải về trên Google Play. Ở lần phá hoại này, mã độc Joker nhắm mục tiêu đến 37 quốc gia, chủ yếu ở châu Âu, điển hình là Úc, Mỹ, Anh, Trung Quốc, Đức…

Đặc biệt, phần mềm độc hại này chỉ hoạt động khi người dùng sử dụng thẻ SIM thuộc những nước này. Cũng trong thời gian đó, đảm bảo an toàn cho người dùng, Google đã gỡ bỏ 24 ứng dụng nhiễm Joker trên cửa hàng Google Play.

Cũng tính từ tháng 9 năm ngoái đến những tháng đầu năm 2020, theo ghi nhận của các nhà bảo mật, an ninh mạng, Joker có vẻ "ngủ yên", thế nhưng giấc ngủ đó kéo dài không lâu, một đợt tấn công rầm rộ mới của Joker trong cuối tháng 4 đã diễn ra quy mô rộng lớn, và minh chứng điều đó chính là việc Google đã phải gấp rút xóa bỏ 11 ứng dụng chứa mã độc mới Joker khỏi Play Store.

Với động thái được coi là "làm sạch" rác mã độc để bảo vệ người dùng, tuy nhiên theo các chuyên gia môi trường mạng luôn ẩn chứa những rủi ro từ những phần phần mềm độc hại rình rập. Cho dù Google có tính năng Play Protect, giúp bảo vệ người dùng khỏi những ứng dụng độc hại, nhưng vẫn sẽ có một tỷ lệ nhất định ứng dụng chứa mã độc tồn tại được trên Play Store.

Vì vậy, các chuyên gia khuyến cáo người dùng smartphone Android nên có ít nhất một chương trình diệt virus tốt trên máy Android của mình để kịp thời phát hiện mã độc Joker và ngăn chặn những hoạt động bất thường. Trước khi muốn tải một ứng dụng nào về, người dùng nên xem xét, đánh giá tên của ứng dụng và nhà phát triển, kiểm tra số lượt tải đồng thời xem thêm các bình luận bên dưới ứng dụng, bởi một số người dùng có thể đã nhận ra ứng dụng giả mạo và để lại cảnh báo.

Trong trường hợp người dùng đã cài đặt các ứng dụng bị nhiễm độc nên tháo SIM để tránh số dư bằng không, kiểm tra lại điện thoại cũng như lịch sử giao dịch của mình, cài đặt chương trình chống vi-rút và quét hệ thống, sau đó tạo một bản sao lưu dự phòng dữ liệu, khôi phục lại cài đặt gốc trên điện thoại di động…

Điều quan trọng mà các chuyên gia bảo mật, an ninh mạng khuyến cáo thêm người dùng khi sử dụng mạng, hãy luôn thông thái để tránh những thiệt hại do các mã độc tấn công, cần phải để tâm đến việc cấp quyền cho ứng dụng khi cài đặt và không nên cài các phần mềm yêu cầu những quyền truy cập không cần thiết vào thiết bị.