Mandrake: Mã độc Android siêu tinh vi, tồn tại 4 năm mới bị phát hiện

Mới đây, các nhà nghiên cứu bảo mật đến từ Bitdefender Labs đã phát hiện ra dấu vết tương đối chi tiết về một chủng mã độc lây nhiễm trên các thiết bị Android, được thiết kế để đánh cắp dữ liệu của nạn nhân. Vấn đề đáng nói nằm ở việc malware này đã hoạt động từ năm 2016, nhưng phải đến bây giờ mới thực sự được phát hiện.

Cụ thể, mã độc này có tên Mandrake, sở hữu phương thức hoạt động hơi khác so với hầu hết các mối đe dọa phổ biến hiện nay, ở chỗ nó không cố gắng lây nhiễm lên thiết bị bằng mọi giá. Thay vào đó, Mandrake sẽ chọn lọc nạn nhân một cách kỹ lưỡng. Nó sẽ chỉ nhắm tới những mục tiêu giàu giá trị nhất (sở hữu lượng lớn dữ liệu có giá trị). Cách hoạt động như vậy không chỉ giúp mã độc tối ưu hóa lợi nhuận thu được, mà còn khiến chúng hạn chế sự chú ý từ giới bảo mật.

Ngoài ra, mã độc cũng được lập trình để “né” người dùng Android ở một số khu vực/quốc gia nhất định, bao gồm các quốc gia thuộc Liên Xô cũ, Châu Phi và Trung Đông. Ngược lại, Úc, Mỹ, Canada và một số nước châu Âu là những khu vực bị nhắm mục tiêu “gắt gao nhất”.

Theo ước tính của Bitdefender Labs, kể từ năm 2016 đến nay Mandrake đã lây nhiễm cho hàng trăm nghìn nạn nhân trên toàn thế giới, với hàng chục ngàn thiết bị bị lây nhiễm ở thời điểm hiện tại. Con số này không phải lớn so với các chủng mã độc nổi tiếng từng được ghi nhận. Tuy nhiên điều đáng nói nằm ở chỗ hầu hết nạn nhân của Mandrake đều là những mục tiêu có giá trị cao, khiến thiệt hại mà mã độc này có thể gây ra vẫn là rất lớn.

Một lý do khiến Mandrake không bị Play Store phát hiện trong nhiều năm là do phần mềm độc hại này không được đính kèm sẵn trong các ứng dụng. Thay vào đó, nó được phân phối sau khi nạn nhân đã cài đặt ứng dụng trên thiết bị. Các ứng dụng chỉ sử dụng tiến trình riêng để tải payload độc hại khi được "chỉ đạo" làm như vậy, nhờ đó chúng qua mắt được quá trình kiểm tra của Google. Khi payload độc hại đã được phân phối trên thiết bị mục tiêu, mã độc bắt đầu thu thập hầu hết dữ liệu mà nó muốn từ người dùng, bao gồm thông tin đăng nhập cho các trang web và ứng dụng. Khi cài trên máy, ứng dụng trông giống như một app bình thường, nhưng ở phía sau, nó cấp quyền và dữ liệu cho người vận hành mã độc.

Bogdan Botezatu, giám đốc nghiên cứu và báo cáo mối đe dọa tại Bitdefender, đã gọi Mandrake là "một trong những phần mềm độc hại mạnh nhất trong thế giới Android", với mục đích cuối cùng là kiểm soát hoàn toàn thiết bị và chiếm đoạt dữ liệu cá nhân có giá trị của nạn nhân.

Mandrake đã được phân phối thông qua một danh sách các ứng dụng Android trên Play Store trong nhiều năm qua. Các ứng dụng này liên tục được cập nhật, làm mới và thậm chí đến từ các nhà phát triển khác nhau.

Thậm chí, những ứng dụng được sử dụng để phát tán phần mềm độc hại cũng được hỗ trợ tương đối tốt để người dùng lầm tưởng rằng đó là ứng dụng tin cậy: các nhà phát triển trả lời phản hồi của người dùng trên Store, thậm chí có trang mạng xã hội.

Đặc biệt, sau khi nó đã thu thập tất cả dữ liệu mà mình muốn, phần mềm độc hại hoàn toàn có thể tự xóa khỏi thiết bị, khiến nạn nhân không hề hay biết chuyện gì đã xảy ra.

Với phương thức hoạt động phức tạp như vậy, rất khó để ngăn chặn Mandrake. Cách tối ưu nhất để tránh loại phần mềm độc hại này là cài đặt ứng dụng đến từ các nhà phát triển có uy tín và đáng tin cậy.

Nếu cần thêm thông tin, bạn có thể đọc toàn bộ bài báo cáo về Mandrake trên Bitdefender tại đây:

https://www.bitdefender.com/files/News/CaseStudies/study/329/Bitdefender-PR-Whitepaper-Mandrake-creat4464-en-EN-interactive.pdf