Công ty an ninh mạng Zimperium đã phát đi cảnh báo về một loại phần mềm gián điệp nguy hiểm mang tên ClayRat, đang nhắm mục tiêu vào người dùng Android với khả năng theo dõi và kiểm soát thiết bị một cách âm thầm.
Theo Zimperium, ClayRat có thể đọc tin nhắn SMS, ghi lại nhật ký cuộc gọi, chụp ảnh bằng camera trước, đồng thời tự động gửi tin nhắn hoặc thực hiện cuộc gọi từ thiết bị của nạn nhân mà người dùng không hề hay biết.
Đáng chú ý, mã độc này được ngụy trang dưới dạng các ứng dụng quen thuộc như TikTok, Google Photos hoặc YouTube. Lợi dụng tâm lý muốn sử dụng miễn phí các tính năng trả phí, tin tặc phát tán ClayRat thông qua các trang web giả mạo và kênh Telegram. Khi người dùng tải và cài đặt file APK từ nguồn ngoài Google Play, phần mềm độc hại sẽ được kích hoạt trên thiết bị.
Một thủ đoạn tinh vi của ClayRat là giả mạo giao diện cài đặt và cập nhật của Google Play, khiến người dùng lầm tưởng đang cài đặt ứng dụng hợp pháp. Mã độc chỉ bắt đầu hoạt động khi người dùng cấp các quyền nhạy cảm như truy cập tin nhắn hoặc đặt ứng dụng làm trình SMS mặc định.
Sau khi được kích hoạt, ClayRat có thể thu thập toàn bộ tin nhắn, nhật ký cuộc gọi, thông tin thiết bị, danh sách ứng dụng và hình ảnh chụp từ camera trước. Toàn bộ dữ liệu này sẽ được gửi về máy chủ điều khiển (C2) của tin tặc thông qua kết nối HTTP.
Không dừng lại ở việc đánh cắp thông tin, ClayRat còn có khả năng biến thiết bị bị nhiễm thành công cụ phát tán mã độc. Phần mềm có thể tự động gửi liên kết độc hại tới toàn bộ danh bạ của nạn nhân, khiến quá trình lây lan diễn ra nhanh chóng và khó kiểm soát.
Trong vòng vài tháng gần đây, các chuyên gia đã ghi nhận hơn 600 biến thể khác nhau của ClayRat cùng hàng chục trình “dropper”, công cụ cài mã độc ban đầu. Mỗi biến thể đều được tinh chỉnh nhằm vượt qua các cơ chế bảo vệ của Android và né tránh phần mềm diệt virus.
Khuyến cáo cho người dùng
Trước nguy cơ từ ClayRat, các chuyên gia an ninh mạng khuyến nghị người dùng Android:
- Chỉ tải ứng dụng từ Google Play, tránh cài đặt file APK từ nguồn không rõ ràng.
- Không nhấp vào các liên kết lạ được gửi qua Telegram, tin nhắn hoặc email.
- Thường xuyên cập nhật hệ điều hành để vá các lỗ hổng bảo mật.
- Bật tính năng Play Protect trong Google Play để phát hiện sớm ứng dụng độc hại.
- Cẩn trọng khi cấp quyền cho ứng dụng, đặc biệt là các quyền truy cập SMS, cuộc gọi và camera.
Zimperium nhấn mạnh, việc duy trì thói quen sử dụng thiết bị an toàn và kiểm soát chặt chẽ quyền truy cập ứng dụng là yếu tố then chốt giúp người dùng bảo vệ dữ liệu cá nhân trước các mối đe dọa ngày càng tinh vi.
Nguồn: CyberScoop
Huỳnh Duy
