Phát hiện malware có thể nghe lén người dùng Android

GhostCtrl, malware vừa được phát hiện không chỉ có thể âm thầm ghi âm, ghi hình, mà còn có thể theo dõi cả tin nhắn, kiểm soát tài liệu của người dùng Android.

Các chuyên gia bảo mật từ Trend Micro vừa thông báo phát hiện phần mềm độc hại GhostCtrl, biến thể từ malware OmniRAT. Được biết, OmniRAT vốn là spyware giúp tin tặc tấn công chiếm quyền điều khiển không chỉ riêng thiết bị Android, mà còn cả người dùng nền tảng Windows, Mac và Linux.

Cũng theo các chuyên gia bảo mật, điểm khác biệt của GhostCtrl, malware vừa được phát hiện chính là mã độc này chỉ nhằm vào người dùng Android và mức độ nguy hiểm theo đánh giá là đáng quan ngại. Cụ thể, GhostCtrl có đến 3 phiên bản với những chức năng hỗ trợ nhau tấn công người dùng. Phiên bản đầu tiên của GhostCtrl được phát hiện có thể đánh cắp thông tin và chiếm quyền điều khiển một số tính năng của thiết bị Android. Trong khi đó, phiên bản GhostCtrl thứ 2 theo các nhà nghiên cứu bảo mật cho biết sẽ thêm vào những tính năng giúp hacker tấn công người dùng. Riêng phiên bản GhostCtrl thứ 3 không những kết hợp những tính năng của 2 phiên bản đầu, mà còn cho phép tội phạm mạng thêm vào những mã độc khác khi cần.

GhostCtrl theo đánh giá của giới chuyên gia bảo mật là có mức độ nguy hiểm cao.

Nói một cách đơn giản hơn, GhostCtrl có thể âm thầm theo dõi, thu thập dữ liệu smartphone Android theo thời gian thực. Mã độc này có thể dễ dàng xâm nhập lịch sử cuộc gọi, tin nhắn, danh bạ, địa điểm cũng như lịch sử duyệt web trên thiết bị Android. Bên cạnh đó, GhostCtrl cũng được phát hiện có thể thu thập cả thông tin về phiên bản Android, Wi-Fi, mức dung lượng pin và gần như mọi hoạt động của thiết bị.

Nguy hiểm hơn, các chuyên gia bảo mật khẳng định GhostCtrl còn có thể ghi hình, thu âm và đương nhiên có thể theo dõi người dùng trong khi họ chẳng hề hay biết. GhostCtrl được phát hiện lây nhiễm qua những ứng dụng phổ biến phiên bản nhái trong đó có cả WhatsApp và Pokemon Go. Một khi lây nhiễm vào thiết bị Android, GhostCtrl sẽ tự cài đặt gói APK có chứa mã độc để “mở đường” cho những cuộc tấn công sau đó. Gói APK độc hại này được phát hiện có chứa backdoor “com.android.engine” nhằm tạo kết nối với các máy chủ ra lệnh và điều khiển (command and control server) để nhận sự hướng dẫn cụ thể trong việc tấn công đánh cắp dữ liệu người dùng.

GhostCtrl cũng được phát hiện có thể trở thành một ransomware vì có khả năng khóa thiết bị của người dùng cuối. Tuy nhiên, các chuyên gia bảo mật hiện chưa phát hiện tình trạng người dùng bị khóa thiết bị và mã độc này dường như chủ yếu chọn cách hoạt động bí mật. Các chuyên gia bảo mật tại Trend Micro khuyến cáo người dùng thiết bị Android nên sao lưu dữ liệu dự phòng thường xuyên, bảo đảm thiết bị luôn nhận được bản cập nhật vá lỗi bảo mật mới nhất và hạn chế tối đa việc tải dữ liệu từ những nguồn không đảm bảo.
 

Từ khóa: an ninh bảo mật, An ninh mạng, android, GhostCtrl, Mai Hoa, thiết bị Android, Trend Micro