Phần mềm độc hại NoVoice lây nhiễm 2,3 triệu thiết bị Android qua ứng dụng Google Play
Theo báo cáo từ TechRadar, các chuyên gia an ninh mạng tại công ty bảo mật McAfee vừa phát hiện một biến thể phần mềm độc hại mới có tên NoVoice đang hoành hành trên nền tảng Android. Đáng chú ý, mối đe dọa này đã len lỏi vào hơn 50 ứng dụng khác nhau trên cửa hàng Google Play, với tổng số lượt tải xuống ước tính lên đến 2,3 triệu lần, gây ra rủi ro bảo mật nghiêm trọng cho người dùng.
Google Play không còn là "vùng an toàn" tuyệt đối
Mặc dù Google thường xuyên củng cố hệ thống kiểm soát và quét phần mềm độc hại, nhưng một số ứng dụng độc hại vẫn tinh vi lọt qua được các lớp bảo vệ này. Điều này cho thấy ngay cả những nền tảng phân phối ứng dụng uy tín cũng không hoàn toàn miễn nhiễm với các cuộc tấn công mạng. Đặc biệt, người dùng sở hữu các thiết bị Android cũ, không còn được nhận bản cập nhật bảo mật định kỳ, chính là đối tượng dễ bị tổn thương nhất trước mối đe dọa mới này.
Chiến thuật tinh vi của NoVoice: Không cần quyền truy cập rộng rãi
Khác với nhiều phần mềm độc hại thông thường yêu cầu nhiều quyền truy cập đáng ngờ như quyền Trợ năng, nhóm ứng dụng chứa NoVoice hoạt động rất bình thường và không đòi hỏi các đặc quyền rộng rãi. Chúng ẩn mình trong nhiều danh mục ứng dụng đa dạng, bao gồm:
- Ứng dụng tiện ích hệ thống
- Thư viện ảnh và quản lý tệp tin
- Các trò chơi giải trí phổ biến
Thay vì lừa người dùng cấp quyền truy cập, NoVoice đã khai thác gần hai chục lỗ hổng bảo mật đã biết, trong đó bao gồm lỗi nhân hệ thống và lỗi trình điều khiển GPU Mali. Điều đáng báo động là những lỗ hổng này đã được vá từ năm 2016 đến 2021, nhưng vẫn tồn tại trên các thiết bị không được cập nhật. Điều này cho thấy kẻ tấn công có chủ đích nhắm vào những thiết bị lỗi thời, nơi người dùng chủ quan không thực hiện cập nhật bảo mật.
Cơ chế hoạt động phức tạp và khả năng tồn tại dai dẳng
Các chuyên gia an ninh mạng tại McAfee đã phân tích và tiết lộ cơ chế hoạt động tinh vi của NoVoice. Phần mềm độc hại này bắt đầu bằng việc thu thập thông tin chi tiết từ thiết bị Android bị nhiễm, bao gồm thông số phần cứng và phiên bản hệ điều hành đang chạy. Sau đó, nó nhận chỉ thị từ máy chủ điều khiển để thực hiện các bước tiếp theo:
- Cài đặt các tập lệnh phục hồi thay thế trình xử lý sự cố hệ thống
- Lưu trữ payload (tải trọng độc hại) dự phòng trên phân vùng hệ thống
Chính nhờ cơ chế này, ngay cả khi người dùng thực hiện khôi phục cài đặt gốc (factory reset), phần mềm độc hại vẫn có thể tồn tại và tái kích hoạt, khiến việc loại bỏ triệt để trở nên cực kỳ khó khăn.
WhatsApp trở thành mục tiêu chính để đánh cắp dữ liệu nhạy cảm
Sau khi thiết lập khả năng tồn tại lâu dài trên thiết bị, NoVoice bắt đầu tiêm mã độc vào mọi ứng dụng được khởi chạy. McAfee đặc biệt nhấn mạnh rằng phần mềm độc hại này có chủ đích nhắm đến ứng dụng WhatsApp nhằm thu thập dữ liệu nhạy cảm. Bằng cách sao chép phiên hoạt động của nạn nhân, kẻ tấn công có thể truy cập và sao chép toàn bộ dữ liệu từ tài khoản WhatsApp của người dùng sang thiết bị của chúng, bao gồm tin nhắn, hình ảnh và thông tin cá nhân.
Google đã hành động và khuyến nghị bảo mật cho người dùng
Đại diện Google đã xác nhận với TechRadar rằng họ đã gỡ bỏ tất cả các ứng dụng độc hại chứa NoVoice khỏi cửa hàng Google Play. Tuy nhiên, công ty này cũng nhấn mạnh rằng người dùng cần chủ động thực hiện các biện pháp bảo mật trên thiết bị của mình để tránh bị đe dọa. Các chuyên gia khuyến nghị:
- Luôn cập nhật hệ điều hành và ứng dụng lên phiên bản mới nhất
- Thận trọng khi cài đặt ứng dụng từ các nguồn không rõ ràng
- Sử dụng phần mềm diệt virus đáng tin cậy
- Kiểm tra kỹ các quyền mà ứng dụng yêu cầu trước khi cài đặt
Sự xuất hiện của NoVoice một lần nữa cảnh báo về mối đe dọa an ninh mạng ngày càng tinh vi, đặc biệt đối với người dùng thiết bị cũ không được bảo trì đầy đủ. Trong bối cảnh số hóa ngày càng sâu rộng, việc nâng cao nhận thức và thực hành bảo mật cá nhân trở thành yếu tố then chốt để bảo vệ dữ liệu và quyền riêng tư.
