Phần Mềm Độc Hại NoVoice Đe Dọa Hàng Triệu Người Dùng Android
Theo báo cáo từ TechRadar, các chuyên gia an ninh mạng tại McAfee đã phát hiện một biến thể phần mềm độc hại mới có tên NoVoice, xuất hiện trong hơn 50 ứng dụng trên cửa hàng Google Play. Tổng số lượt tải xuống của các ứng dụng này đã lên tới con số đáng báo động là 2,3 triệu lần, cho thấy quy mô ảnh hưởng rộng lớn của cuộc tấn công này.
Chiến Thuật Tinh Vi Vượt Qua Hệ Thống Kiểm Duyệt
Mặc dù Google thường xuyên củng cố khả năng ngăn chặn phần mềm độc hại, nhưng NoVoice đã lọt qua được hệ thống kiểm soát nhờ những chiến thuật tinh vi. Nhóm ứng dụng độc hại này hoạt động bình thường và không yêu cầu nhiều quyền truy cập đáng ngờ, chẳng hạn như quyền Trợ năng – vốn thường là dấu hiệu cảnh báo rõ ràng. Chúng thuộc nhiều danh mục khác nhau, bao gồm ứng dụng tiện ích, thư viện ảnh và trò chơi, khiến người dùng khó nhận biết.
Thay vì lừa người dùng cung cấp quyền truy cập rộng rãi, các ứng dụng này đã khai thác gần hai chục lỗ hổng bảo mật, bao gồm lỗi nhân và lỗi trình điều khiển GPU Mali. Đáng chú ý, những lỗ hổng này đã được vá từ năm 2016 đến 2021, điều đó có nghĩa là kẻ tấn công nhắm mục tiêu vào các thiết bị cũ mà người dùng không cập nhật hệ thống thường xuyên.
Cơ Chế Hoạt Động Nguy Hiểm Và Khả Năng Tồn Tại Lâu Dài
Các chuyên gia an ninh tiết lộ rằng NoVoice bắt đầu hoạt động bằng cách thu thập thông tin từ các thiết bị Android bị nhiễm, chẳng hạn như chi tiết phần cứng và phiên bản Android. Sau đó, nó nhận được chỉ dẫn để thực hiện các bước tiếp theo, bao gồm việc cài đặt các tập lệnh phục hồi thay thế trình xử lý sự cố hệ thống và lưu trữ các payload dự phòng trên phân vùng hệ thống.
Chính vì cơ chế này, khi người dùng khôi phục cài đặt gốc, phần mềm độc hại vẫn có thể tồn tại và tiếp tục hoạt động. Sau khi thiết lập khả năng tồn tại lâu dài, NoVoice sẽ tiêm mã độc vào mọi ứng dụng được khởi chạy trên thiết bị, mở rộng phạm vi tấn công.
Mục Tiêu Chính: Đánh Cắp Dữ Liệu WhatsApp
McAfee đã chỉ ra rằng phần mềm độc hại này đặc biệt nhắm đến ứng dụng WhatsApp nhằm thu thập dữ liệu nhạy cảm. Mục đích là sao chép phiên hoạt động của nạn nhân, từ đó cho phép kẻ tấn công sao chép dữ liệu từ tài khoản WhatsApp của nạn nhân trên thiết bị của chúng, gây ra nguy cơ rò rỉ thông tin cá nhân nghiêm trọng.
Biện Pháp Phòng Ngừa Và Dấu Hiệu Nhận Biết
Google cho biết đã gỡ bỏ tất cả các ứng dụng độc hại liên quan đến NoVoice, tuy nhiên người dùng vẫn cần thực hiện các biện pháp bảo mật trên thiết bị của mình để tránh bị đe dọa. Người dùng cần cảnh giác nếu thiết bị có các biểu hiện bất thường như:
- Hao pin nhanh chóng và không rõ nguyên nhân.
- Thiết bị tự khởi động lại một cách ngẫu nhiên.
- Ứng dụng biến mất hoặc tự cài đặt lại mà không có sự can thiệp.
Nếu gặp các dấu hiệu trên, người dùng phải ngắt kết nối mạng ngay lập tức và mang thiết bị đi kiểm tra bởi chuyên gia. Để giảm thiểu rủi ro, các chuyên gia bảo mật khuyến cáo:
- Luôn cập nhật hệ điều hành Android lên phiên bản mới nhất.
- Chỉ cài đặt ứng dụng từ các nhà phát triển uy tín và có đánh giá cao.
- Hạn chế sử dụng các thiết bị đã lỗi thời hoặc không còn được hỗ trợ bảo mật.
Bài Học Về Ý Thức Bảo Mật Của Người Dùng
Sự cố NoVoice cho thấy ngay cả các nền tảng chính thống như Google Play cũng không hoàn toàn miễn nhiễm trước các chiến dịch tấn công tinh vi. Trong bối cảnh mã độc ngày càng phức tạp và khó phát hiện, ý thức bảo mật của người dùng vẫn là tuyến phòng thủ quan trọng nhất. Việc thường xuyên cập nhật phần mềm và thận trọng khi tải ứng dụng là chìa khóa để bảo vệ thiết bị khỏi những mối đe dọa mới nổi.
