Mối đe dọa an ninh mạng đối với người dùng tiếp tục gia tăng khi các chuyên gia bảo mật của Zimperium vừa phát hiện một loại phần mềm độc hại mới có tên DroidLock.
Theo Zimperium, DroidLock có khả năng khóa hoàn toàn thiết bị Android của nạn nhân, truy cập thông tin cá nhân và thậm chí xóa dữ liệu trên điện thoại. Mã độc này hiện chủ yếu nhắm đến người dùng tại Tây Ban Nha, song không loại trừ khả năng sẽ nhanh chóng lan rộng sang các quốc gia khác và trên phạm vi toàn cầu.
DroidLock lây lan thông qua các trang web quảng bá ứng dụng giả mạo, nơi phần mềm độc hại được ngụy trang dưới dạng ứng dụng hợp pháp hoặc bản cập nhật. Người dùng thường bị dụ cài đặt thông qua các thông báo cập nhật giả, sau đó bị yêu cầu cấp quyền quản trị viên và quyền trợ năng - những quyền kiểm soát sâu đối với hệ thống.
Một khi các quyền này được cấp, DroidLock có thể thực hiện hàng loạt hành vi nguy hiểm như khóa thiết bị, thay đổi mã PIN hoặc hình vẽ mở khóa, thậm chí xóa dữ liệu hoặc khôi phục cài đặt gốc. Các thao tác này diễn ra âm thầm thông qua lớp phủ màn hình, khiến người dùng không kịp nhận ra điều bất thường.
Trong thời gian thiết bị không được sử dụng, mã độc có thể thay đổi thông tin bảo mật, khiến chủ sở hữu hoàn toàn mất quyền truy cập vào điện thoại. Sau khi chiếm quyền kiểm soát, tin tặc sẽ gửi yêu cầu tiền chuộc, đe dọa xóa vĩnh viễn toàn bộ dữ liệu nếu nạn nhân không thanh toán trong vòng 24 giờ. Việc liên lạc thường được thực hiện qua các địa chỉ email sử dụng dịch vụ Proton nhằm che giấu danh tính.
Zimperium cho biết DroidLock không mã hóa dữ liệu như các biến thể ransomware truyền thống. Tuy nhiên, nguy cơ bị xóa dữ liệu vĩnh viễn vẫn đủ để gây hoang mang cho người dùng Android.
Các chuyên gia an ninh mạng khuyến cáo người dùng cần hết sức thận trọng khi cài đặt ứng dụng từ các nguồn bên ngoài Google Play Store, bởi đây là con đường phổ biến nhất để phần mềm độc hại xâm nhập và kiểm soát smartphone.
Huỳnh Duy
