Mandrake: phần mềm độc hại ẩn trong hàng chục ngàn điện thoại Android

08:38 | 11/08/2020

Một phần mềm gián điệp trên điện thoại Android có tên Mandrake gây lây nhiễm trên điện thoại thông minh bằng cách cung cấp cho những kẻ đứng sau nó toàn quyền kiểm soát thiết bị trong khi người dùng không hề hay biết. Phần mềm gián điệp này đã lạm dụng các chức năng hợp pháp của Android để truy cập trên thiết bị và có thể thu thập thông tin về người dùng.

Theo đó, kẻ tấn công có thể duyệt, thu thập tất cả dữ liệu trên thiết bị và đánh cắp thông tin đăng nhập tài khoản của các ứng dụng ngân hàng. Đồng thời bí mật ghi lại các hoạt động trên màn hình, theo dõi vị trí GPS của người dùng và liên tục che giấu dấu vết của chúng.

Các khả năng của Mandrake được nêu chi tiết trong một bài báo của các nhà nghiên cứu an ninh mạng tại Bitdefender. Người dùng trên khắp châu Âu và châu Mỹ được cho là mục tiêu của chúng. Mandrake đã hoạt động từ năm 2016 và các nhà nghiên cứu từng nêu chi tiết cách thức hoạt động của phần mềm này nhắm mục tiêu cụ thể đến người dùng Úc, nhưng hiện tại nó đang nhắm mục tiêu vào các nạn nhân trên khắp thế giới.

"Mục tiêu cuối cùng của Mandrake là kiểm soát hoàn toàn thiết bị, cũng như xâm phạm tài khoản. Đây là một trong những phần mềm độc hại nguy hiểm nhất trên Android mà chúng tôi đã thấy cho đến giờ", Bogdan Botezatu, Giám đốc nghiên cứu và báo cáo về mối đe dọa tại Bitdefender nói.

Các nhà điều hành của Mandrake đã rất nỗ lực để đảm bảo có thể ẩn mình trong nhiều năm qua. Thậm chí còn phát triển, tải lên và duy trì một số ứng dụng trên Google Play Store dưới tên của một số nhà phát triển khác nhau. Một số trong số này được thiết kế để nhắm mục tiêu các quốc gia cụ thể. Tuy nhiên, các ứng dụng đó đã được gỡ bỏ.

Thông thường để giữ cho người dùng hài lòng, phần lớn các ứng dụng không chứa quảng cáo và các bản sửa lỗi được cập nhật thường xuyên. Một số ứng dụng thậm chí có các trang truyền thông xã hội tất cả đều được thiết kế để thuyết phục người dùng tải xuống.

Mandrake tránh sự phát hiện của Google Play bằng cách sử dụng quy trình nhiều giai đoạn để ẩn tác động độc hại. Ứng dụng được cài đặt trên điện thoại và sau đó liên lạc với máy chủ để tải xuống trình tải rồi cung cấp các tính năng bổ sung mà Mandrake cần để kiểm soát thiết bị.

Không rõ kẻ nào điều hành hoạt động tội phạm mạng đằng sau Mandrake, nhưng phần mềm độc hại này đặc biệt không thực thi trên các thiết bị ở các quốc gia thuộc Liên Xô cũ, Châu Phi và Trung Đông. Các nhà nghiên cứu lưu ý rằng một số quốc gia đầu tiên được miễn trừ khỏi các cuộc tấn công của Mandrake là Ukraine, Belarus, Kyrgyzstan và Uzbekistan.

Chiến dịch Mandrake có thể vẫn đang hoạt động và có lẽ chỉ còn là vấn đề thời gian trước khi những kẻ đứng sau nó cố gắng phân phối các ứng dụng mới để phát tán phần mềm độc hại.

Để tránh trở thành nạn nhân của một chiến dịch như vậy, người dùng nên chắc chắn rằng họ tin tưởng và hiểu biết về công ty phát triển ứng dụng - đôi khi có thể tốt hơn để tránh tải xuống ứng dụng từ các nhà phát triển mới, ngay cả khi chúng ở trong cửa hàng ứng dụng chính thức của Google.