Hơn 8,9 triệu điện thoại Android trên toàn thế giới bị lây nhiễm mã độc mới

- Nhóm tấn công Lemon Group hiện đang khai thác hàng triệu điện thoại thông minh Android bị lây nhiễm mã độc nhằm biến các thiết bị này thành proxy mobile…

Đây là công cụ đánh cắp thông tin và bán tin nhắn SMS, kiếm tiền trái phép thông qua tài khoản mạng xã hội và nhắn tin trực tuyến, gian lận quảng cáo theo mỗi lần click chuột (Click Fraud).

Hiện đã có hơn 8.9 triệu thiết bị Android bị lây nhiễm, đặc biệt là các dòng điện thoại giá rẻ tập trung chủ yếu ở Mỹ, Mexico, Indonesia, Thái Lan, Nga, Nam Phi, Ấn Độ, Angola, Philippines và Argentina.

Nhóm tấn công này đang mở rộng cuộc tấn công nhằm vào các thiết bị IoT dựa trên Android khác như Smart TV, Android TV box, phần mềm giải trí và cả đồng hồ trẻ em.

Ảnh minh họa

Mã độc được phát tán có tên là Guerilla, được phát hiện lần đầu tiên vào năm 2018 khi các nhà nghiên cứu tìm ra 15 ứng dụng trên Play Store có chức năng gian lận quảng cáo theo mỗi lần click chuột (Click Fraud) và hoạt động như một backdoor.

Theo các nhà nghiên cứu, nhóm tấn công đã phát tán mã độc này trong 5 năm qua và hiện đã lan rộng trên toàn cầu tại hơn 180 quốc gia, với hơn 50 thương hiệu thiết bị di động bị lây nhiễm.

Đầu năm 2022, mã độc Guerilla được biết đến với khả năng chặn tin nhắn SMS như mật khẩu sử dụng một lần (OTP) được liên kết với nhiều nền tảng trực tuyến khác nhau, ngay sau đó đối tượng tấn công đổi tên thành Durian Cloud SMS nhằm xóa dấu vết của Lemon.

Mỗi plugin của Guerilla đều phục vụ một chức năng kinh doanh trái phép phục vụ cho nhóm tấn công Lemon Group. Một số plugin được các nhà nghiên cứu liệt kê:

• Plugin proxy để thiết lập reverse proxy từ điện thoại bị nhiễm và cho phép các đối tượng tấn công cho thuê quyền truy cập vào tài nguyên mạng của người dùng trái phép.

• Plugin cookie để thu thập cookie Facebook của người dùng và thông tin cá nhân khác.

• Plugin WhatsApp để chiếm phiên truy cập (Session Hijacking) và gửi tin nhắn trái phép.

• Plugin Splash để phân phát quảng cáo không chính đáng khi mở một số ứng dụng nhất định.

• Plugin Silent để cài đặt tệp APK trái phép và mở ứng dụng.

Người dùng cần nâng cao cảnh giác với các tệp đính kèm và thực hiện đầy đủ các bước kiểm tra bảo mật cần thiết trước khi nhấp chuột. Ngoài ra, để hạn chế khả năng dữ liệu riêng tư gặp rủi ro, người dùng nên cẩn thận với những yêu cầu buộc sao chép các tệp vào một thư mục công khai.