5 ứng dụng Android chứa phần mềm gián điệp bạn nên xóa ngay lập tức

Phần mềm gián điệp Mandrake được ghi nhận lần đầu tiên vào năm 2020, tuy nhiên, các nhà nghiên cứu nhấn mạnh rằng nó đã hoạt động ngoài thực tế ít nhất là từ năm 2016.

Báo cáo cho thấy, 5 ứng dụng Android chứa phần mềm gián điệp Mandrake được thiết kế để giám sát thiết bị di động mà người dùng không hề hay biết. Đặc biệt, phiên bản mới còn có khả năng che giấu và tránh né tốt hơn, và đã được tải xuống hơn 32.000 lần từ Google Play.

Hiện tại các ứng dụng Android chứa phần mềm gián điệp Mandrake đã bị xóa khỏi cửa hàng Google Play, tuy nhiên, chúng vẫn tồn tại trên điện thoại nếu bạn đã lỡ tải về và cài đặt trước đó. Dưới đây là 5 ứng dụng Android chứa phần mềm gián điệp Mandrake bạn nên xóa ngay lập tức:

- AirFS - Chia sẻ tệp qua WiFi của it9042 (30.305 lượt tải xuống từ ngày 28-4-2022 đến ngày 15-3-2024)

- Astro Explorer của shevabad (718 lượt tải xuống từ ngày 30-5-2022 đến ngày 6-6-2023)

- Amber của kodaslda (19 lượt tải xuống từ ngày 27-2-2022 đến ngày 19-8-2023)

- CryptoPulsing của shevabad (790 lượt tải xuống từ ngày 2-11-2022 đến ngày 6-6-2023)

- Brain Matrix của kodaslda (259 lượt tải xuống từ ngày 27-4-2022 đến ngày 6-6-2023)

Công ty an ninh mạng Kaspersky cho biết phần lớn lượt tải xuống đến từ Canada, Đức, Ý, Mexico, Tây Ban Nha, Peru và Vương quốc Anh.

Ứng dụng AirFS chứa phần mềm gián điệp Mandrake. Ảnh: Kaspersky

Tránh bị phát hiện

Không giống như phần mềm độc hại Android thông thường, đặt logic độc hại vào tệp DEX của ứng dụng, Mandrake ẩn giai đoạn đầu của nó trong thư viện gốc libopencv_dnn.so, được che giấu kỹ lưỡng bằng OLLVM.

Sau khi cài đặt ứng dụng độc hại, thư viện sẽ xuất các hàm để giải mã DEX của trình tải giai đoạn thứ hai từ thư mục nội dung của nó và tải vào bộ nhớ.

Giai đoạn thứ hai yêu cầu quyền vẽ lớp phủ và tải thư viện gốc thứ hai, libopencv_java3.so, giải mã chứng chỉ để liên lạc với máy chủ chỉ huy và kiểm soát (C2).

Sau khi thiết lập liên lạc với C2, ứng dụng sẽ gửi hồ sơ thiết bị và nhận thành phần Mandrake cốt lõi (giai đoạn thứ ba) nếu được coi là phù hợp.

Khi thành phần cốt lõi được kích hoạt, phần mềm gián điệp Mandrake có thể thực hiện nhiều hoạt động độc hại, bao gồm thu thập dữ liệu, ghi lại và giám sát màn hình, thực thi lệnh, mô phỏng thao tác vuốt và chạm của người dùng, quản lý tệp và cài đặt ứng dụng.

Đáng chú ý, kẻ tấn công có thể nhắc nhở người dùng cài đặt thêm các APK độc hại bằng cách hiển thị thông báo bắt chước Google Play, với hy vọng lừa người dùng cài đặt các tệp không an toàn thông qua một quy trình có vẻ đáng tin cậy.

Kaspersky cho biết phần mềm độc hại này cũng sử dụng phương pháp cài đặt dựa trên phiên để vượt qua các hạn chế của Android 13 (và các phiên bản mới hơn) về việc cài đặt APK từ các nguồn không chính thức .

Giống như các phần mềm độc hại Android khác, Mandrake có thể yêu cầu người dùng cấp quyền chạy ẩn và ẩn biểu tượng ứng dụng khỏi màn hình thiết bị của nạn nhân.

Dù Google đã xóa 5 ứng dụng nhiễm phần mềm độc hại nhưng Kaspersky cho rằng Mandrake sẽ sớm quay trở lại thông qua các ứng dụng mới, khó phát hiện hơn.

Chuyên gia khuyến cáo

Người dùng điện thoại Android chỉ nên cài đặt ứng dụng từ các nhà phát triển hoặc đơn vị phát hành có uy tín, kiểm tra kĩ phần bình luận của những người dùng trước đó trước khi cài đặt.

Đặc biệt, không cấp quyền cho ứng dụng nếu thấy điều đó là vô lý. Ví dụ, một ứng dụng đèn pin sẽ không cần đến quyền truy cập dữ liệu hay sử dụng camera, micro…

Chia sẻ với Bleeping Computer, đại diện Google cho biết tính năng Play Protect hiện vẫn liên tục được cải thiện để có thể xác định các ứng dụng độc hại tốt hơn, kể cả khi chúng được tải từ các trang web của bên thứ ba.

Để bật tính năng Play Protect, đầu tiên bạn hãy mở Google Play, bấm vào ảnh đại diện ở góc phải. Tiếp theo, người dùng chỉ cần chọn Play Protect, bấm vào biểu tượng cài đặt ở góc trên, sau đó bật toàn bộ các tùy chọn có trong mục này.

Bật tính năng Play Protect trên điện thoại Android để hạn chế bị nhiễm phần mềm gián điệp. Ảnh: TIỂU MINH

Tiểu Minh