Hơn 14 triệu máy Android nhiễm mã độc CopyCat, thiệt hại 1.5 tỷ USD

Một loại mã độc mang tên CopyCat vừa được phát hiện đã phát tán và lây nhiễm cho hơn 14 triệu máy Android trên toàn thế giới. Ước tính thiệt hại chỉ trong vòng hai tháng đến lúc này là mã độc đã mang về cho tin tặc hơn 1.5 tỷ USD từ những quảng cáo độc hại

Cụ thể, theo báo cáo của công ty bảo mật Check Point, mã độc CopyCat đã lây nhiễm trên 14 triệu thiết bị, root gần 8 triệu thiết bị; tiêm quảng cáo độc hại vào 3.8 triệu thiết bị và sử dụng mã độc để đánh cắp thông tin thẻ tín dụng trong 4.4 triệu thiết bị. Phần lớn nạn nhân bị nhiễm mã độc tại Nam và Đông Nam Á với Ấn Độ là quốc gia bị ảnh hưởng nhiều nhất. Hơn 280.000 thiết bị Android tại Mỹ cũng được phát hiện chứa mã độc.

Hiện chưa có bằng chứng cho thấy CopyCat được phát tán qua Google Play. Các nhà nghiên cứu tin rằng người dùng bị nhiễm mã độc thông qua việc cài đặt ứng dụng bên thứ ba và thông qua tấn công lừa đảo. CopyCat sử dụng một vài khai thác bao gồm CVE-2013-6282 (VROOT), CVE-2015-3636 (PingPongRoot), và CVE-2014-3153 (Towelroot) nhằm tấn công thiết bị Android 5.0 và các phiên bản thấp hơn. CopyCat có khả năng root thiết bị ẩn náu bí mật và lây nhiễm mã độc vào Zygote – thành phần chịu trách nhiệm khởi động ứng dụng trên Android, cung cấp cho tin tặc toàn quyền truy cập vào thiết bị.

Việc hàng loạt thiết bị bị lây nhiễm cho thấy hàng triệu người dùng Android đang sử dụng thiết bị cũ, không được cập nhật và không được hỗ trợ. Các nhà nghiên cứu nghi ngờ một công ty quảng cáo Trung Quốc MobiSummer đứng đằng sau vụ việc phát tán mã độc.  Chẳng hạn như một số dấu hiệu đã nói lên điều đó:

1. CopyCat và MobiSummer được triển khai từ cùng một máy chủ.

2. Một vài đoạn code của CopyCat được kí số bởi MobiSummer.

3. CopyCat và MobiSummer sử dụng chung một dịch vụ.

4. CopyCat không tấn công người dùng Trung Quốc mà chỉ tấn công người dùng ở các quốc gia châu Á khác.

Theo khuyến cáo từ các chuyên gia bảo mật, người dùng Android được khuyến cáo chỉ sử dụng ứng dụng từ Google Play Store chính thức; không tải ứng dụng từ những nguồn đáng ngờ, không nhấn vào các đường link lạ trên mạng.

Xuân Dung