5 ứng dụng Android chứa phần mềm gián điệp bạn nên xóa ngay lập tức

(PLO)- Vừa qua, công ty bảo mật Kaspersky đã phát hiện ra phiên bản mới của phần mềm gián điệp Mandrake bên trong 5 ứng dụng Android.

0:00 / 0:00
0:00
  • Nam miền Bắc
  • Nữ miền Bắc
  • Nữ miền Nam
  • Nam miền Nam

Phần mềm gián điệp Mandrake được ghi nhận lần đầu tiên vào năm 2020, tuy nhiên, các nhà nghiên cứu nhấn mạnh rằng nó đã hoạt động ngoài thực tế ít nhất là từ năm 2016.

Báo cáo cho thấy, 5 ứng dụng Android chứa phần mềm gián điệp Mandrake được thiết kế để giám sát thiết bị di động mà người dùng không hề hay biết. Đặc biệt, phiên bản mới còn có khả năng che giấu và tránh né tốt hơn, và đã được tải xuống hơn 32.000 lần từ Google Play.

Hiện tại các ứng dụng Android chứa phần mềm gián điệp Mandrake đã bị xóa khỏi cửa hàng Google Play, tuy nhiên, chúng vẫn tồn tại trên điện thoại nếu bạn đã lỡ tải về và cài đặt trước đó. Dưới đây là 5 ứng dụng Android chứa phần mềm gián điệp Mandrake bạn nên xóa ngay lập tức:

- AirFS - Chia sẻ tệp qua WiFi của it9042 (30.305 lượt tải xuống từ ngày 28-4-2022 đến ngày 15-3-2024)

- Astro Explorer của shevabad (718 lượt tải xuống từ ngày 30-5-2022 đến ngày 6-6-2023)

- Amber của kodaslda (19 lượt tải xuống từ ngày 27-2-2022 đến ngày 19-8-2023)

- CryptoPulsing của shevabad (790 lượt tải xuống từ ngày 2-11-2022 đến ngày 6-6-2023)

- Brain Matrix của kodaslda (259 lượt tải xuống từ ngày 27-4-2022 đến ngày 6-6-2023)

Công ty an ninh mạng Kaspersky cho biết phần lớn lượt tải xuống đến từ Canada, Đức, Ý, Mexico, Tây Ban Nha, Peru và Vương quốc Anh.

Ứng dụng AirFS chứa phần mềm gián điệp Mandrake. Ảnh: Kaspersky
Ứng dụng AirFS chứa phần mềm gián điệp Mandrake. Ảnh: Kaspersky

Tránh bị phát hiện

Không giống như phần mềm độc hại Android thông thường, đặt logic độc hại vào tệp DEX của ứng dụng, Mandrake ẩn giai đoạn đầu của nó trong thư viện gốc libopencv_dnn.so, được che giấu kỹ lưỡng bằng OLLVM.

Sau khi cài đặt ứng dụng độc hại, thư viện sẽ xuất các hàm để giải mã DEX của trình tải giai đoạn thứ hai từ thư mục nội dung của nó và tải vào bộ nhớ.

Giai đoạn thứ hai yêu cầu quyền vẽ lớp phủ và tải thư viện gốc thứ hai, libopencv_java3.so, giải mã chứng chỉ để liên lạc với máy chủ chỉ huy và kiểm soát (C2).

Sau khi thiết lập liên lạc với C2, ứng dụng sẽ gửi hồ sơ thiết bị và nhận thành phần Mandrake cốt lõi (giai đoạn thứ ba) nếu được coi là phù hợp.

Khi thành phần cốt lõi được kích hoạt, phần mềm gián điệp Mandrake có thể thực hiện nhiều hoạt động độc hại, bao gồm thu thập dữ liệu, ghi lại và giám sát màn hình, thực thi lệnh, mô phỏng thao tác vuốt và chạm của người dùng, quản lý tệp và cài đặt ứng dụng.

Đáng chú ý, kẻ tấn công có thể nhắc nhở người dùng cài đặt thêm các APK độc hại bằng cách hiển thị thông báo bắt chước Google Play, với hy vọng lừa người dùng cài đặt các tệp không an toàn thông qua một quy trình có vẻ đáng tin cậy.

Kaspersky cho biết phần mềm độc hại này cũng sử dụng phương pháp cài đặt dựa trên phiên để vượt qua các hạn chế của Android 13 (và các phiên bản mới hơn) về việc cài đặt APK từ các nguồn không chính thức .

Giống như các phần mềm độc hại Android khác, Mandrake có thể yêu cầu người dùng cấp quyền chạy ẩn và ẩn biểu tượng ứng dụng khỏi màn hình thiết bị của nạn nhân.

Dù Google đã xóa 5 ứng dụng nhiễm phần mềm độc hại nhưng Kaspersky cho rằng Mandrake sẽ sớm quay trở lại thông qua các ứng dụng mới, khó phát hiện hơn.

Chuyên gia khuyến cáo

Người dùng điện thoại Android chỉ nên cài đặt ứng dụng từ các nhà phát triển hoặc đơn vị phát hành có uy tín, kiểm tra kĩ phần bình luận của những người dùng trước đó trước khi cài đặt.

Đặc biệt, không cấp quyền cho ứng dụng nếu thấy điều đó là vô lý. Ví dụ, một ứng dụng đèn pin sẽ không cần đến quyền truy cập dữ liệu hay sử dụng camera, micro…

Chia sẻ với Bleeping Computer, đại diện Google cho biết tính năng Play Protect hiện vẫn liên tục được cải thiện để có thể xác định các ứng dụng độc hại tốt hơn, kể cả khi chúng được tải từ các trang web của bên thứ ba.

Để bật tính năng Play Protect, đầu tiên bạn hãy mở Google Play, bấm vào ảnh đại diện ở góc phải. Tiếp theo, người dùng chỉ cần chọn Play Protect, bấm vào biểu tượng cài đặt ở góc trên, sau đó bật toàn bộ các tùy chọn có trong mục này.

Bật tính năng Play Protect trên điện thoại Android để hạn chế bị nhiễm phần mềm gián điệp. Ảnh: TIỂU MINH
Bật tính năng Play Protect trên điện thoại Android để hạn chế bị nhiễm phần mềm gián điệp. Ảnh: TIỂU MINH

Đọc thêm

Một sai lầm khiến tài khoản Zalo có nguy cơ rơi vào tay người khác

Một sai lầm khiến tài khoản Zalo có nguy cơ rơi vào tay người khác

(PLO)- Nhiều người sau khi đổi số điện thoại vẫn tiếp tục sử dụng tài khoản Zalo mà không cập nhật thông tin mới. Thói quen này tưởng chừng vô hại nhưng có thể gây ra không ít phiền phức nếu số điện thoại cũ bị nhà mạng thu hồi và cấp lại cho người khác.

Cách ghi âm tốt nhất trên iPhone

Cách ghi âm tốt nhất trên iPhone

(PLO)- Nhiều người sử dụng iPhone để ghi âm cuộc họp, phỏng vấn hoặc lưu lại ý tưởng bất chợt. Tuy nhiên, không phải ai cũng biết rằng ứng dụng Ghi âm (Voice Memos) trên iPhone có sẵn một tính năng giúp cải thiện chất lượng âm thanh chỉ với vài thao tác đơn giản.

20 năm Intel tại Việt Nam: Từ vài trăm nhân sự đến nhà máy xuất khẩu hơn 110 tỉ USD

20 năm Intel tại Việt Nam: Từ vài trăm nhân sự đến nhà máy xuất khẩu hơn 110 tỉ USD

(PLO)- Hai mươi năm sau khi đặt nền móng tại Khu Công nghệ cao TP.HCM, Intel không chỉ vận hành cơ sở lắp ráp và kiểm định chip lớn nhất trong mạng lưới toàn cầu của mình, mà còn trở thành một trong những doanh nghiệp công nghệ có đóng góp lớn nhất cho hoạt động xuất khẩu và đào tạo nhân lực bán dẫn tại Việt Nam.

VNG lần đầu đặt mục tiêu có lãi sau khi lên sàn

VNG lần đầu đặt mục tiêu có lãi sau khi lên sàn

(PLO)- Sau nhiều năm theo đuổi chiến lược tăng trưởng và liên tục mở rộng hệ sinh thái công nghệ, VNG đang bước vào giai đoạn mới khi lần đầu tiên đặt mục tiêu có lãi kể từ khi cổ phiếu VNZ giao dịch trên UPCoM.