Mandrake: Mã độc Android siêu tinh vi, tồn tại 4 năm mới bị phát hiện

Mới đây, các nhà nghiên cứu bảo mật đến từ Bitdefender Labs đã phát giác ra vết tích kha khá chi tiết về một chủng mã độc lây nhiễm trên các thiết bị Android, được thiết kế để đánh cắp dữ liệu của nạn nhân. Vấn đề đáng nói nằm ở việc malware này đã hoạt động từ năm 2016, nhưng phải đến giờ đây mới thực sự được phát hiện.

Cụ thể, mã độc này mang tên Mandrake, sở hữu cơ chế hoạt động hơi khác so với đa số các mối dọa dẫm thông dụng hiện nay, ở chỗ nó không gắng gượng truyền nhiễm lên thiết bị bằng mọi giá. Thay vào đó, Mandrake sẽ chọn lọc nạn nhân 1 cách kỹ lưỡng. Nó sẽ chỉ nhắm tới những mục đích giàu giá trị nhất (sở hữu lượng lớn dữ liệu có giá trị). Cách hoạt động như vậy không những giúp mã độc tối ưu hóa doanh thu thu được, mà còn khiến chúng hạn chế sự chú ý từ giới bảo mật.

Ngoài ra, mã độc cũng đã được lập trình để “né” người dùng Android ở một số khu vực/quốc gia nhất định, bao gồm các quốc gia thuộc Liên Xô cũ, Châu Phi và Trung Đông. Ngược lại, Úc, Mỹ, Canada cùng một số nước châu Âu là những khu vực bị nhắm mục tiêu “gắt gao nhất”.

Theo ước tính của Bitdefender Labs, kể từ năm 2016 đến nay Mandrake đã lây nhiễm cho hàng trăm nghìn nạn nhân trên toàn thế giới, với hàng chục ngàn thiết bị bị lây nhiễm ở thời điểm hiện tại. Con số này không phải lớn so với các chủng mã độc nổi tiếng từng được ghi nhận. Tuy nhiên điều đáng nói nằm ở chỗ hầu hết nạn nhân của Mandrake đều là những mục đích có mức giá trị cao, khiến thiệt hại mà mã độc này còn có thể gây ra vẫn chính là rất lớn.

Một nguyên nhân khiến Mandrake không bị Play Store phát giác trong lâu năm là do phần mềm độc hại này sẽ không được đính kèm sẵn trong các ứng dụng. Thay vào đó, nó được phân phối sau khi nạn nhân đã cài đặt ứng dụng trên thiết bị. Các ứng dụng chỉ sử dụng tiến độ riêng để tải payload độc hại khi được “chỉ đạo” làm như vậy, nhờ đó chúng qua mắt được quá trình kiểm tra của Google. Khi payload độc hại đã được phân phối trên thiết bị mục tiêu, mã độc bắt đầu thu thập hầu hết dữ liệu mà nó muốn từ người dùng, cho dù là tin tức đăng nhập cho các trang web và ứng dụng. Khi cài trên máy, ứng dụng trông giống như 1 app bình thường, nhưng ở phía sau, nó cấp quyền và dữ liệu cho người vận hành mã độc.

Phương thức hoạt động của mã độc

Bogdan Botezatu, giám đốc nghiên cứu và báo cáo mối dọa dẫm tại Bitdefender, đã gọi Mandrake là “một trong những phần mềm độc hại mạnh nhất trong thế giới Android” , với mục đích cuối cùng là khống chế hoàn toàn thiết bị và chiếm đoạt dữ liệu cá nhân có giá trị của nạn nhân.

Mandrake đã được phân phối thông qua một bản kê các phần mềm Android trên Play Store trong nhiều năm qua. Các phần mềm này liên tục được cập nhật, làm mới rồi cho dù đến từ những nhà phát triển khác nhau.

Thậm chí, những ứng dụng được sử dụng để phát tán phần mềm độc hại cũng đã được bổ trợ kha khá tốt để người dùng lầm tưởng rằng đó là phần mềm tin cậy: các nhà phát triển trả lời phản hồi của người sử dụng trên Store, thậm chí có trang mạng xã hội.

Đặc biệt, sau khi nó đã thu thập tất cả dữ liệu mà mình muốn, phần mềm độc hại hoàn toàn có thể tự xóa khỏi thiết bị, khiến nạn nhân không hề hay biết chuyện gì đã xảy ra.

Danh sách một số phần mềm chứa mã độc

Với cơ chế hoạt động phức tạp như vậy, rất khó để ngăn chặn Mandrake. Cách tối ưu nhất để né loại ứng dụng độc hại đây là cài đặt phần mềm tới từ các nhà phát triển có đáng tin cậy và đáng tin cậy.

Nếu cần thêm thông tin, bạn có thể đọc toàn bộ bài báo cáo về Mandrake trên Bitdefender tại đây:

  https://www.bitdefender.com/files/News/CaseStudies/study/329/Bitdefender-PR-Whitepaper-Mandrake-creat4464-en-EN-interactive.pdf  

Từ khóa bài viết: truongthinh.info, Mandrake, malware Mandrake, mã độc Mandrake, phần mềm độc hại Mandrake, malware, mã độc Android, Bitdefender

Bài viết Mandrake: Mã độc Android siêu tinh vi, tồn tại 4 năm mới bị phát hiện được tổng hợp và biên tập bởi: truongthinh.info. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho truongthinh.info để điều chỉnh. truongthinh.info xin cảm ơn.