Phát hiện mã độc hại Android ẩn trong ứng dụng Netflix giả mạo và lây lan qua WhatsApp

Bất chấp những nỗ lực không biết mệt mỏi của Google trong cuộc chiến chống lại phần mềm độc hại trên Android, thỉnh thoảng lại có một loại mã độc lọt qua được những lớp phòng thủ dày đặc và trở thành mối đe dọa mới với người dùng Android toàn cầu.

Cách đây không lâu, các nhà nghiên cứu bảo mật quốc tế đến từ đội ngũ Check Point Research đã tình cờ tìm thấy một chủng mã độc Android mới sở hữu phương thức tấn công khá “dị”, đó là đánh lừa nạn nhân qua những lời mời truy cập miễn phí vào các nội dung Netflix (giả mạo) hấp dẫn và lan truyền qua WhatsApp.

Điều điều này thoạt nghe có vẻ chẳng liên quan, nhưng trên thực tế lại khá hiệu quả. Theo tiết lộ của Check Point Research, phần mềm độc hại này được tích hợp trong một ứng dụng có tên FlixOnline, có sẵn trên Google Play Store, đi kèm lời hứa hẹn về khả năng xem nội dung Netflix từ mọi nơi trên thế giới.

Tuy nhiên, thay vì làm điều đó, ứng dụng yêu cầu một số quyền truy cập hệ thống cho phép nó ăn cắp dữ liệu và lây lan sang những người dùng khác dễ dàng hơn. Khi tất cả các quyền mà mã độc cần đã được cấp, ứng dụng sẽ tự ẩn mình khỏi trình khởi chạy của hệ thống, khiến nạn nhân khó có thể nhận ra được sự bất thường.

Khi được cài đặt, ứng dụng yêu cầu một số quyền đặc biệt. Chẳng hạn như quyền hiển thị trên các ứng dụng khác, bỏ qua trình tối ưu hóa pin và quyền truy cập thông báo hệ thống. Đây đều là những quyền mà hầu như mọi ứng dụng thông thường đều không yêu cầu.

Quyền hiển thị trên các ứng dụng khác cho phép FlixOnline có thể tự ngụy trang và hiển thị màn hình đăng nhập giả mạo trên các ứng dụng khác, khiến người dùng nhập thông tin cá nhân của họ và gửi cho những kẻ tấn công. Trong khi đó, quyền bỏ qua tính năng tối ưu hóa pin có nghĩa là ứng dụng sẽ không bị tắt trong nền, vì vậy nó vẫn có thể hoạt động trong nền ngay cả khi ở chế độ chờ.

Cuối cùng, quyền truy cập thông báo hệ thống đóng vai trò rất quan trọng với ứng dụng độc hại này. Thứ nhất, nhờ quyền này ứng dụng có thể thu thập thông tin từ các thông báo của người dùng, bao gồm cả các tin nhắn cá nhân mà họ nhận được. Không chỉ vậy, nó còn cho phép ứng dụng thực hiện một loạt các thao tác nhanh đối với các thông báo đó, như trả lời tin nhắn trên WhatsApp. Đây chính xác là những gì mã độc đang thực hiện để tự lây lan cho những người dùng khác.

Bất cứ khi nào nạn nhân nhận được thông báo (tin nhắn) từ WhatsApp, ứng dụng giả mạo sẽ ẩn thông báo đó và gửi tin nhắn trả lời hứa hẹn hai tháng truy cập Netflix miễn phí kèm theo liên kết tải xuống cũng như cài đặt phần mềm độc hại trên thiết bị mục tiêu.

Phía Check Point Research đã báo cáo toàn bộ thông tin chi tiết về phần mềm độc hại mới này cho Google trước khi tiết lộ công khai. Lập tức, ứng dụng độc hại FlixOnline đã bị xóa khỏi Play Store. Tuy nhiên theo ước tính, có khoảng 500 người dùng đã tải xuống ứng dụng này trong vòng hai tháng, dấy lên mối lo ngại mã độc trên thực tế đã lây lan trên nhiều thiết bị khác thông qua WhatsApp. Bất kỳ ai đã cài đặt ứng dụng này trên máy nên lập lức gỡ cài đặt nó và thay đổi toàn bộ mật khẩu của mình.