Google đang thắt chặt kiểm soát việc cài đặt ứng dụng từ các nguồn không chính thức, chỉ cho phép người dùng cài ứng dụng từ những nhà phát triển đã được xác minh mà không cần trải qua thêm các bước phức tạp. Mới đây, một cảnh báo mới đã làm rõ vì sao động thái này là cần thiết và có ý nghĩa đặc biệt quan trọng.
Theo đó, Google đã triển khai các biện pháp mạnh tay nhằm triệt phá hàng loạt ứng dụng độc hại lợi dụng hệ sinh thái và dịch vụ đám mây của hãng để tấn công thiết bị di động. Báo cáo mới của Zimperium cho biết việc “gỡ bỏ các ứng dụng và tài khoản liên quan giúp giảm đáng kể tình trạng lạm dụng”, song đây vẫn là một cuộc chiến lâu dài, “nhấn mạnh tầm quan trọng của việc phát hiện và ngăn chặn ngay ở cấp độ thiết bị”. Điều này cũng phù hợp với những cải tiến gần đây của Google trong cơ chế sàng lọc và bảo vệ ứng dụng trực tiếp trên máy người dùng.
Zimperium cảnh báo chiến dịch tấn công mới đã sao chép hàng loạt ứng dụng phổ biến như Google, YouTube, WhatsApp, Instagram, Facebook hay TikTok, nhằm đánh lừa người dùng tải về phần mềm độc hại và cấp cho chúng nhiều quyền truy cập. Người dùng được khuyến cáo phải đặc biệt cảnh giác, không cài đặt bất kỳ ứng dụng sao chép nào.
Ảnh minh họa
Các ứng dụng độc hại này chủ yếu được phát tán thông qua liên kết trên Telegram, Discord, MediaFire và những kênh tương tự, đồng thời giả mạo hàng chục thương hiệu nổi tiếng. Tin tặc thường quảng bá các tệp APK dưới dạng phiên bản “mod” hoặc “pro” của ứng dụng hợp pháp, khiến nạn nhân lầm tưởng mình đang được sử dụng các tính năng nâng cao hoặc cao cấp.
Nếu mắc bẫy, người dùng sẽ vô tình cài đặt mã độc Arsink Remote Access Trojan (RAT) lên điện thoại. Loại phần mềm này cho phép tin tặc kiểm soát gần như toàn bộ thiết bị, từ ghi âm qua micro, thu thập tin nhắn, danh bạ, thông tin tài khoản, đánh cắp ảnh và tệp dữ liệu, đến thực hiện cuộc gọi hoặc thậm chí xóa sạch dữ liệu. Đáng chú ý, cuộc tấn công diễn ra âm thầm và dai dẳng khi RAT ẩn biểu tượng ứng dụng, duy trì dịch vụ nền liên tục và hiển thị thông báo để ngăn bị hệ thống chấm dứt, đồng thời giữ kết nối thường xuyên với máy chủ điều khiển.
Chiến dịch này đã ảnh hưởng đến hàng chục nghìn nạn nhân tại nhiều quốc gia và có xu hướng tiếp tục lan rộng. Zimperium cho biết Arsink là một chiến dịch mang tính toàn cầu, không giới hạn ở khu vực địa lý cụ thể. Phân tích dữ liệu cho thấy khoảng 45.000 địa chỉ IP bị nhiễm, trải rộng trên 143 quốc gia thuộc Trung Đông, châu Á, châu Phi, châu Âu và châu Mỹ.
Lời khuyên được đưa ra khá rõ ràng: người dùng Android tuyệt đối không cài đặt các ứng dụng phổ biến hoặc phiên bản biến thể của chúng thông qua ứng dụng nhắn tin, diễn đàn trực tuyến hay liên kết trực tiếp. Chỉ nên tải ứng dụng từ Play Store hoặc các cửa hàng ứng dụng chính thức. Nếu bắt gặp những phiên bản “mod” hay “pro” của ứng dụng quen thuộc, cần tránh xa.
Google khẳng định hiện mã độc RAT này không lây lan qua Play Store và tính năng Play Protect sẽ bảo vệ người dùng khi được bật. Do đó, người dùng nên đảm bảo Play Protect luôn được kích hoạt và không tạm dừng bảo vệ để cài đặt ứng dụng.
