Tại sao nó quan trọng: Cửa hàng Google Play nổi tiếng là chứa các ứng dụng chứa phần mềm độc hại, phần mềm quảng cáo hoặc một số phần mềm gián điệp hoặc phần mềm lông cừu. Một thực tế ít được biết đến là tin tặc đang ngày càng chuyển sang sử dụng các ứng dụng được cài đặt sẵn để thực hiện hành vi sai trái của chúng, nhưng một lần nữa các nhà nghiên cứu đang cố gắng thu hút sự chú ý đến xu hướng đang phát triển này. Hàng triệu điện thoại Android giá cả phải chăng đi kèm với một số lượng lớn ứng dụng được cài đặt sẵn và tin tặc chỉ cần phá hoại một ứng dụng. Tuy nhiên, giải quyết vấn đề này là một nhiệm vụ khó khăn hơn nhiều so với việc xử lý các ứng dụng giả mạo lọt vào Cửa hàng Play.
Tháng trước, chúng ta đã biết rằng phần mềm độc hại đã được phát hiện trong 60 ứng dụng Android với hơn 100 triệu lượt tải xuống – một tai họa khác đối với hệ điều hành di động ước tính có khoảng ba tỷ người dùng đang hoạt động trên toàn thế giới. Các nhà phát triển độc hại thường xuyên khai thác các lỗ hổng khác nhau trong quy trình kiểm tra ứng dụng của Google để tạo ra các ứng dụng đánh cắp thông tin đăng nhập hoặc phần mềm lông cừu, thu hút tới 400 triệu USD mỗi năm từ người dùng bằng cách lừa họ đăng ký các gói đăng ký đắt tiền trong ứng dụng.
Tuy nhiên, các nhà nghiên cứu tại Trend Micro đang âm thanh báo động về xu hướng ngày càng tăng của các thiết bị Android được cài đặt sẵn phần mềm độc hại. Mặc dù bạn có thể dễ dàng xóa ứng dụng mà mình đã tải xuống từ Cửa hàng Play, nhưng việc xử lý phần mềm độc hại có trong ứng dụng hệ thống hoặc chương trình cơ sở của thiết bị là một nhiệm vụ khó khăn hơn nhiều.
Bản chất mở của Android cho phép các nhà sản xuất tạo ra nhiều kiểu điện thoại và nhắm mục tiêu người tiêu dùng có ý thức về giá với các tùy chọn hợp lý hơn, nhưng nó cũng mở ra cơ hội cho tin tặc lẻn vào mã độc trước khi những thiết bị đó rời khỏi sàn nhà máy. Và rủi ro này cũng áp dụng cho các thiết bị Android khác – mọi thứ từ đồng hồ thông minh đến máy tính bảng, hộp set-topvà TV thông minh.
Nhà nghiên cứu cấp cao của Trend Micro, Fyodor Yarochkin, cho biết phần mềm độc hại được cài đặt sẵn đã trở nên phổ biến hơn rất nhiều trong những năm gần đây một phần là do cuộc đua xuống đáy giữa các nhà phát triển chương trình cơ sở di động. Khi việc bán phần sụn trở nên không có lãi, nhiều người trong số họ bắt đầu cung cấp phần mềm miễn phí.
Như bạn mong đợi, có một nhược điểm đối với mô hình kinh doanh mới này – nhiều hình ảnh chương trình cơ sở được Trend Micro phân tích chứa các đoạn mã được mô tả là “phần bổ trợ im lặng”. Cho đến nay, các nhà nghiên cứu đã phát hiện ra hơn 80 hương vị, nhưng chỉ một số ít được phân phối rộng rãi. Những thứ phổ biến hơn đang được bán ngầm và tiếp thị trên Facebook, YouTube và nhiều blog khác nhau.
Một số plugin này cho phép bọn tội phạm mạng “cho thuê” thiết bị Android trong tối đa năm phút mỗi lần và sử dụng chúng để đánh cắp thông tin đăng nhập hoặc thông tin người dùng nhạy cảm khác. Những người khác có khả năng tải xuống phần mềm độc hại bổ sung vào thiết bị bị nhiễm.
Các nhà nghiên cứu ước tính rằng hàng triệu thiết bị bị lây nhiễm đang được sử dụng trên khắp thế giới, phần lớn tập trung ở Đông Âu và Đông Nam Á. Thật thú vị, bọn tội phạm tự tuyên bố rằng 8,9 triệu thiết bị Android được tải với các plugin im lặng của chúng.
Trend Micro đã có thể xác nhận rằng phần mềm độc hại đã có trong điện thoại của ít nhất 10 nhà cung cấp, hầu hết là của Trung Quốc. Công ty nghi ngờ có thêm 40 nhà cung cấp bị ảnh hưởng, nhưng các nhà nghiên cứu quan tâm nhiều hơn đến việc tìm ra nơi nào trong chuỗi cung ứng có nhiều khả năng xảy ra lây nhiễm hơn.
Google đã biết về phần mềm độc hại Android được cài đặt sẵn trong nhiều năm nhưng không thể dễ dàng giải quyết vấn đề do nó có quá ít quyền kiểm soát đối với chuỗi cung ứng OEM Android phức tạp. Điện thoại rẻ hơn có xu hướng sử dụng Nền tảng mã nguồn mở Android (AOSP) và đi kèm với khoảng 100 đến 400 ứng dụng được cài đặt sẵn – tất cả những gì cần làm là lây nhiễm một trong số chúng.
Điều đó cũng không giúp ích được gì khi có tới 225 nhà sản xuất thiết bị thường xuyên để lại phần mềm chẩn đoán trên điện thoại Android, phần mềm này về cơ bản cho phép truy cập từ xa từ cửa sau cho các công cụ kiểm duyệt và phần mềm gián điệp. Hành vi này đã được Được Quan sát ở rất nhiều thương hiệu Trung Quốc cũng như các tên tuổi lớn như Oppo, OnePlus, Realme và Xiaomi. Một số công ty như Gigaset thuộc sở hữu của Trung Quốc, bán điện thoại ở EU, bị phát hiện đã chôn một phần mềm tự động cài đặt phần mềm độc hại trong một ứng dụng cập nhật hệ thống.
Trở lại năm 2019, nhà nghiên cứu Maddie Stone của Google Project Zero tiết lộ sự tồn tại của một botnet lừa đảo SMS và quảng cáo có tên là Chamois đã ảnh hưởng đến ít nhất 21 triệu thiết bị Android trong những năm trước thông qua phần mềm độc hại được cài đặt sẵn. Công ty phát hiện ra rằng các nhà cung cấp thường vô tình kết hợp mã Chamois vào các bản phân phối Android của họ vì họ dễ bị lừa tin rằng đó là một dịch vụ quảng cáo hợp pháp.
Cũng đọc: Android có cần tiết kiệm không? Nếu có, đây là cách thực hiện.
Kể từ đó, Google đã nỗ lực rất nhiều để hoàn thiện Google Play Protect và mở rộng khả năng giám sát các ứng dụng được cài đặt sẵn trên thiết bị Android để phát hiện hành vi nguy hiểm. Điều đó nói rằng, tin tặc tiếp tục tìm cách vượt qua các biện pháp bảo vệ này và thậm chí chúng còn đang phát triển các mô hình kinh doanh sinh lợi xung quanh nó trên dark web. Một phân tích gần đây của Kaspersky cho thấy rằng việc truy cập các dịch vụ độc hại này có giá từ $2,000 và $20,000.
Đối với những gì bạn có thể làm để tự bảo vệ mình, Yarochkin khuyên bạn nên chọn sản phẩm cao cấp hơn và gắn bó với các thương hiệu như Samsung và Google, những thương hiệu được cho là có bảo mật chuỗi cung ứng tốt hơn. Hầu hết các ứng dụng chống vi-rút trên thiết bị di động đều không hiệu quả trước các mối đe dọa bảo mật thực sự, vì vậy đừng bận tâm đến chúng trừ khi bạn muốn kết thúc giống như hàng nghìn người dùng đã tải xuống phần mềm độc hại đánh cắp mật khẩu được ngụy trang dưới dạng công cụ chống vi-rút.
Tín dụng hình ảnh: Luis Andrés Villalon