TÓM TẮT
- Google cảnh báo người dùng Android không nên cài ứng dụng bên ngoài cửa hàng Google Play do nguy cơ nhiễm mã độc Arsink.
- Mã độc này giả mạo các ứng dụng quen thuộc như YouTube, WhatsApp, TikTok để chiếm quyền điều khiển điện thoại.
Google cho biết người dùng Android chỉ nên cài ứng dụng từ các nhà phát triển đã được xác minh. Điều này nhằm hạn chế nguy cơ cài đặt nhầm ứng dụng độc hại, vốn đang được phát tán dưới nhiều hình thức khác nhau.
Arsink là gì?
Nguyên nhân của cảnh báo này liên quan đến Arsink, một loại mã độc cho phép tin tặc điều khiển điện thoại Android từ xa. Khi người dùng cài đặt ứng dụng bị nhiễm Arsink, mã độc này sẽ thu thập dữ liệu cá nhân và gửi ra ngoài, thông qua các dịch vụ đám mây như Google Drive, Firebase hoặc qua Telegram để phục vụ việc kiểm soát thiết bị.
Đừng tìm kiếm 2 từ này trên Google để tránh rước họa vào thân
Google cho biết đã gỡ bỏ hàng loạt ứng dụng và tài khoản lợi dụng hệ sinh thái đám mây của hãng để phát tán mã độc. Tuy nhiên, điều này không đồng nghĩa với việc các cuộc tấn công đã chấm dứt, do các nhóm đứng sau liên tục thay đổi cách phân phối ứng dụng độc hại.
Theo báo cáo của Zimperium, Arsink được phát tán thông qua các ứng dụng giả mạo Google, YouTube, WhatsApp, Instagram, Facebook và TikTok.
Các ứng dụng giả mạo này thường được phát tán qua liên kết trên Telegram, Discord, MediaFire hoặc các kênh tương tự. Trong nhiều trường hợp, kẻ gian còn phát tán thông qua các tệp APK được gắn nhãn “mod” hoặc “pro”, nhằm tạo cảm giác có thêm tính năng nâng cao để khiến người dùng chủ động tải về.
Nếu người dùng mắc bẫy và cài đặt ứng dụng bị nhiễm Arsink, tin tặc có thể kiểm soát gần như toàn bộ thiết bị, từ ghi âm, đọc tin nhắn, lấy danh bạ đến đánh cắp tập tin, thậm chí xóa dữ liệu trên điện thoại.
Cuộc tấn công này thường diễn ra âm thầm và kéo dài. Mã độc sẽ ẩn biểu tượng khỏi màn hình chính để người dùng khó phát hiện, đồng thời chạy dưới dạng dịch vụ nền ngay cả khi người dùng mở trình quản lý tác vụ. Ngoài ra, nó còn duy trì kết nối liên tục với máy chủ điều khiển để nhận lệnh từ xa.
Zimperium cho biết chiến dịch Arsink đã ảnh hưởng đến hàng chục ngàn người dùng trên toàn cầu. Từ dữ liệu thu thập được, hãng xác định khoảng 45.000 địa chỉ IP bị nhiễm, trải rộng trên 143 quốc gia tại Trung Đông, châu Á, châu Phi, châu Âu và châu Mỹ.
Để đảm bảo an toàn, các chuyên gia khuyến cáo người dùng không nên cài đặt ứng dụng bên ngoài Google Play, hoặc các bản chỉnh sửa được chia sẻ trên mạng. Đồng thời bật tính năng Play Protect để được bảo vệ khỏi các ứng dụng độc hại.
