Phát hiện mã độc mới trên Android có khả năng gián điệp cực khủng khiếp

Mới đây các chuyên gia bảo mật đã phát hiện một nền tảng gián điệp trên Android mới có khả năng gián điệp tinh vi nhất hiện nay bao gồm khả năng ghi âm dựa trên vị trí và các tính năng khác mà chưa từng được thấy trước đây.

Trong một thông báo được công bố vào thứ ba mới đây, Kaspersky Lab cho biết Skygofree là một trong những ứng dụng gián điệp tinh vi nhất từ trước đến này, vốn là một sản phẩm an ninh được bán ra bởi một công ty IT có trụ sở ở Ý chuyên bán các thiết bị giám sát khác nhau. Với 48 lệnh khác nhau, phiên bản mới nhất của ứng dụng độc hại này đã trải qua nhiều quá trình phát triển liên tục kể từ khi nó được tạo ra từ cuối năm 2014. Mã độc này có 5 cách khai thác khác nhau đểu chiếm quyền truy cập root đặc quyền của thiết bị, cho phép nó vượt qua được các biện pháp bảo mật quan trọng đang có sẵn trong Android. Skygofree có khả năng chụp ảnh, chụp video và ghi âm cuộc gọi, tin nhắn văn bản, dữ liệu địa lý, sự kiện trên lịch cũng như các thông tin liên quan đến kinh doanh được lưu trữ ngay trong bộ nhớ của thiết bị.

Skygofree còn bao gồm cả khả năng tự động ghi lại những cuộc trò chuyện, tiếng ồn xung quanh khi một thiết bị đã bị nhiễm độc đến một địa điểm cụ thể nào đó mà kẻ tấn công quyết định. Thêm vào đó, một tính năng mà chưa từng được thấy trước đó nữa là khả năng đánh cắp tin nhắn WhatsApp bằng cách lạm dụng các dịch vụ trợ năng của Android, ứng dụng sẽ được thiết kế để giúp cho người dùng bị khuyết tật hoặc người dùng tạm thời không thể tương tác hoàn toàn với các thiết bị. Tính năng thứ 3 của mã độc này chính là khả năng kết nối thiết bị bị lây nhiễm với mạng Wi-Fi bị kiểm soát bởi kẻ tấn công.

Ngoài ra, mã độc cũng còn bao gồm nhiều tính năng tiên tiến khác, trong đó còn có ứng dụng đảo ngược giúp cho kẻ tấn công có khả năng điều khiển và kiểm soát các thiết bị bị lây nhiễm một cách dễ dàng hơn. Ứng dụng độc hại cũng được trang bị thêm các tính năng thông minh khác như keylogger, ghi lại nội dung văn bản được gõ trên thiết bị hay còn có cả cơ chế ghi âm lại các cuộc trò chuyện trên phần mềm Skype.

Có thể nói phần mềm độc hại này còn nguy hiểm không kém gì Pegasus trên Android, được phát hiện vào khoảng tháng 8/2016 đã lây nhiễm cho iPhone của một nhà bất đồng chính kiến tại Ả Rập. Pegasus vốn là một nền tảng gián điệp với đầy đủ tính năng, được phát triển bởi NSO có trụ sở tại Israel, cho phép ghi lại những văn bản được gõ trên thiết bị, chụp màn hình, ghi âm, ghi video, điều khiển từ xa thông qua SMS và đánh cắp dữ liệu từ các ứng dụng thường dùng như WhatsApp, Skype, Facebook, Twitter và Viber.

Chuyên gia bảo mật của Kaspersky Lab cho biết phần mềm Skygofree của Android đã ghép những công cụ gián điệp mạnh nhất mà họ từng thấy trên nền tảng này. Đây rõ ràng là kết quả của một quá trình nghiên cứu lâu dài, và mã độc được hưởng vô số khả năng đặc biệt”.

Tuy nhiên, không có nghĩa là mã độc này hoàn toàn hoàn hảo. Các bản được kiểm tra bởi Kaspersky Lab có chứa nhiều chi tiết mang lại những đầu mối quý giá về kẻ phát triển và vận hành mã. Và họ đã tìm ra dấu vết gồm tên miền h3g.co, được đăng ký bởi một công ty công nghệ thông tin của Ý mang tên Negg International. Theo đó, Kaspersky Lab đã nhanh chóng liên hệ và các nhân viên tại Negg vẫn chưa có trả lời email bình luận gì về vấn đề này. Rất có thể phần mềm độc hại này là một sản phẩm được phát triển từ sau vụ hack năm 2015 của nhóm Hacking Team, một nhà phát triển phần mềm gián điệp khác tại Ý.

Kaspersky Lab cho biết rằng phần mềm độc hại được lây lan qua landing page giả dạng các trang web của Vodafone và các nhà mạng di động khác. Theo điều tra, các tên miền đã được sử dụng và đăng ký từ năm 2015, chiến dịch vẫn còn đang tiếp diễn. Theo báo cáo của Kaspersky Lab thì nhiều người tại Ý đã nhiễm phải mã độc này.

Skygofree là một bằng chứng cho thấy việc cài đặt phần mềm gián điệp vẫn còn đang là một mối đe dọa lớn đối với nhựng người sử dụng thiết bị và hệ điều hành. Những người sử dụng mà nghĩ rằng họ dễ có thể trở thành mục tiêu thì nên luôn cảnh giác với những trang web mà họ truy cập và chỉ cài đặt phần mềm từ những cửa hàng ứng dụng chính thức, và chỉ sau khi đã nghiên cứu cẩn thận.