Mã độc Xavier tấn công 800 ứng dụng Google Play mạnh tới mức nào?
Theo các chuyên gia an ninh mạng, mã độc Xavier ngày càng nguy hiểm khi nó âm thầm đánh cắp thông tin, thu thập dữ liệu của người dùng.
Hãng bảo mật Trend Micro mới đây đã công bố thông tin có hàng trăm ứng dụng Android trên Google Play Store bị phát hiện đã dính mã độc thu thập thông tin có tên Xavier. Mã độc được cài sẵn trên nhiều chương trình Android miễn phí như chỉnh sửa ảnh, hình nền và được tải về hàng triệu lần.
Mã độc Xavier đến nay đã phát triển thành loại mã độc tinh vi và nguy hiểm có thể đánh cắp thông tin, âm thầm thu thập dữ liệu nhạy cảm của người dùng như email, ID thiết bị, model, hệ điều hành...
Để làm rõ mức độ nguy hiểm của mã độc Xavier đối với người dùng và cách phòng chống loại mã độc này, PV Chất lượng Việt Nam đã liên hệ với chuyên gia đến từ Công ty an ninh mạng Security Box.
Mã độc Xavier được nhúng trong nhiều ứng dụng Android trên Google Play Store. (Ảnh: Security Box)
Qua phân tích mẫu, Security Box cho biết mã độc Xavier (được phát hiện dưới tên: ANDROIDOS_XAVIER.AXM) là một Trojan (Trojan là một chương trình độc hại không có khả năng lây nhiễm như virus nhưng lây nhiễm bằng cách giả vờ như một phần mềm hợp pháp, mục tiêu cho phép hacker thu thập thông tin, điều khiển thiết bị từ xa) trên các thiết bị Android.
Xavier thâm nhập vào các thiết bị Android dưới dạng một thư viện quảng cáo và âm thầm gửi dữ liệu người dùng về một máy chủ điều khiển từ xa (C&C). Xavier có khả năng tải các mã lệnh và thực thi các mã lệnh này. Điểm đặc biệt nguy hiểm của Xavier là phương thức mà nó sử dụng để xóa vết và ngụy trang hành vi.
Đầu tiên, nó được nhúng vào các ứng dụng vô hại như trình tạo nhạc chuông hay trình chỉnh sửa ảnh. Đa số các ứng dụng này được phát triển từ Đông Nam Á. Tính đến nay, đã có hơn 800 ứng dụng bị nhúng mã độc Xavier với hàng triệu lượt tải về từ Google Play. Nhờ cách này mà Xavier đã lây lan trên diện rộng. Theo thống kê, số lượng thiết bị lây nhiễm cao nhất phân bố cũng ở Đông Nam Á, đặc biệt là Việt Nam, Philippines và Indonesia, một số ít nạn nhân ở khu vực châu Âu và Mỹ.
Chuyên gia của Security Box cho rằng cách mà mã độc được nhúng vào các ứng dụng cũng rất đáng chú ý. Không có đoạn code độc hại nào được sử dụng công khai bởi ứng dụng, vì thế mà các ứng dụng này sẽ không bị gắn cờ khi đưa lên cửa hàng ứng dụng của Google.
Một khi được cài đặt, mã độc sẽ tải phần chương trình chính của nó từ một máy chủ bí mật và phần chương trình chính này sẽ là phần thực thi hành động đánh cắp dữ liệu người dùng. Tất cả các hành vi trên đều được thực hiện ở chế độ ẩn nên người dùng sẽ không thể phát hiện ra.
Cũng không ngoại trừ khả năng Xavier có thể cài đặt các file APK khác một cách âm thầm nếu thiết bị đã bị root. Xavier được thiết kế đặc biệt để giấu đi sự hiện diện và hành vi của nó trước các kỹ thuật phân tích tĩnh và phân tích động.
Mã độc này sử dụng các phương pháp mã hóa chuỗi và mã hóa dữ liệu đường truyền Internet để ẩn giấu các giao tiếp của mình. Mã độc cũng sử dụng cơ chế kiểm tra phần cứng điện thoại để chắc chắn rằng không chạy trên bộ giả lập mà các chuyên gia bảo mật thường sử dụng để phân tích mã độc. Xavier cũng chủ động phát hiện ra đang chạy trong môi trường giả lập để tự dừng chương trình.
Theo kết quả phân tích các mẫu Xavier mà Security Box thu thập được, sau khi kiểm tra nhận diện môi trường cài đặt là thiết bị thật, mã độc Xavier thực hiện trao đổi nhận lệnh từ các máy chủ điều khiển từ xa.
Sau đó, Xavier thực hiện thu thập, sau đó mã hóa các thông tin và gửi chúng lên máy chủ điều khiển từ xa, các thông tin thu thập: ID thiết bị, ID của nhà cung cấp dịch vụ, android id, model, độ phân giải, nhà sản xuất phần cứng, ngôn ngữ, quốc gia, phiên bản hệ điều hành, danh sách các ứng dụng đang cài đặt, địa chỉ email.
Hiện tại, Security Box chưa nhận được bất cứ thông tin nào về việc xuất hiện dòng mã độc Xavier trên các thiết bị sử dụng hệ điều hành iOS. Xavier hiện vẫn đang tấn công chủ đích lên hệ điều hành Android. Đồng thời, ngay sau khi nhận được cảnh báo, Google đã tiến hành kiểm tra và gỡ bỏ toàn bộ các ứng dụng có chứa mã độc Xavier ra khỏi chợ ứng dụng CHPlay. Tuy nhiên, trên bản thân máy của mỗi người và trên các chợ ứng dụng khác vẫn có thể đang tồn tại các phần mềm chứa mã độc này.
Các ứng dụng nhiễm Xavier được gỡ bỏ khỏi Google Play tính đến thời điểm hiện tại. (Nguồn Security Box)
Do đó, theo lời khuyên từ chuyên gia của Security Box, người dùng có thể cài đặt các phần mềm an ninh trên thiết bị di động, hạn chế cài đặt các ứng dụng từ các bên thứ 3 và tuyệt đối không nên cài đặt các ứng dụng không rõ nguồn gốc. Nếu phát hiện thiết bị có những dấu hiệu bất thường, người dùng nên tìm tới các chuyên gia hoặc các đơn vị làm về bảo mật để được tư vấn và giúp đỡ kịp thời nhất. Đối với người dùng đang sử dụng iOS cũng hết sức cảnh giác, đặc biệt là người sử dụng các thiết bị jail-break, nguy cơ mã độc đang âm thầm tấn công luôn luôn hiện hữu.
Judy hay Xavier chỉ là hai trong số nhiều malware đã được phát hiện, có thể nói mã độc đang ngày càng tấn công và mức độ ảnh hưởng ngày càng lớn, nhiều mẫu chỉ phát hiện khi đã cài đặt trên một lượng rất lớn các thiết bị và ảnh hưởng tới người dùng.
“Biện pháp hữu hiệu nhất là cài đặt các phần mềm an ninh cho các thiết bị di động từ các hãng bảo mật nổi tiếng vì cơ chế cập nhật, phát hiện mẫu của các hãng này rất nhanh. Nếu không may mắn bị lây nhiễm mã độc cũng sẽ được phát hiện, cảnh báo và gỡ bỏ kịp thời”, chuyên gia Security Box cho hay.
