Google đang tiếp tục siết chặt các biện pháp bảo mật nhằm hạn chế rủi ro từ việc cài đặt ứng dụng ngoài hệ sinh thái chính thức. Động thái này xuất phát từ việc phát hiện nhiều chiến dịch tấn công mạng quy mô lớn, lợi dụng các ứng dụng giả mạo để phát tán mã độc nguy hiểm trên thiết bị Android.
Theo Google, hãng hiện chỉ cho phép cài đặt ứng dụng từ những nhà phát triển đã được xác minh, đồng thời tăng cường cơ chế bảo vệ trực tiếp trên thiết bị người dùng. Mục tiêu là ngăn chặn mã độc ngay từ giai đoạn cài đặt, thay vì chỉ xử lý sau khi sự cố xảy ra.
Báo cáo mới nhất của Zimperium cho biết một chiến dịch tấn công toàn cầu đang sao chép hàng loạt ứng dụng phổ biến như Google, YouTube, WhatsApp, Instagram, Facebook hay TikTok để đánh lừa người dùng tải về các tệp APK chứa mã độc. Những ứng dụng giả mạo này thường được ngụy trang dưới dạng phiên bản “mod” hoặc “pro”, quảng cáo là có thêm tính năng nâng cao nhằm thu hút người dùng.
Các tệp độc hại chủ yếu được phát tán thông qua liên kết chia sẻ trên Telegram, Discord, MediaFire và nhiều nền tảng tương tự. Khi cài đặt, người dùng vô tình cấp quyền cho mã độc Arsink Remote Access Trojan (RAT) hoạt động trên thiết bị.
Theo phân tích của Zimperium, Arsink RAT cho phép tin tặc kiểm soát gần như toàn bộ điện thoại, từ ghi âm qua micro, thu thập tin nhắn, danh bạ, thông tin tài khoản, đánh cắp hình ảnh và dữ liệu cá nhân, cho đến thực hiện cuộc gọi hoặc xóa dữ liệu từ xa. Đáng chú ý, mã độc này hoạt động âm thầm khi ẩn biểu tượng ứng dụng, duy trì dịch vụ nền liên tục và giữ kết nối thường xuyên với máy chủ điều khiển.
Chiến dịch tấn công đã ảnh hưởng đến khoảng 45.000 địa chỉ IP tại 143 quốc gia, trải rộng trên nhiều khu vực như Trung Đông, châu Á, châu Phi, châu Âu và châu Mỹ. Zimperium nhận định đây là mối đe dọa mang tính toàn cầu và có nguy cơ tiếp tục lan rộng nếu người dùng không nâng cao cảnh giác.
Trước tình hình trên, Google khuyến cáo người dùng Android tuyệt đối không cài đặt ứng dụng hoặc các phiên bản biến thể được chia sẻ qua ứng dụng nhắn tin, diễn đàn trực tuyến hay liên kết trực tiếp. Người dùng chỉ nên tải ứng dụng từ Play Store hoặc các cửa hàng ứng dụng chính thức.
Google cũng khẳng định mã độc Arsink RAT hiện không xuất hiện trên Play Store. Tính năng Play Protect vẫn đủ khả năng phát hiện và ngăn chặn mối đe dọa nếu được bật đầy đủ. Do đó, người dùng được khuyến nghị luôn kích hoạt Play Protect và không tạm dừng cơ chế bảo vệ để cài đặt ứng dụng từ nguồn không rõ ràng.
Tham khảo Forbes
Huỳnh Duy
