Tính đến đầu tháng 3, hệ thống giám sát của hãng đã phát hiện hơn 500 thiết bị Android bị xâm nhập, trải rộng trên gần 50 mẫu máy khác nhau và xuất hiện tại khoảng 40 quốc gia.
Mã độc được xác định có tên là Keenadu. Khác với các phần mềm độc hại thông thường, Keenadu được tích hợp trực tiếp vào firmware trong quá trình sản xuất. Cụ thể, mã độc ẩn trong một thư viện hệ thống và ngụy trang thành thành phần hợp pháp liên quan đến nền tảng MediaTek, khiến người dùng gần như không thể phát hiện hoặc gỡ bỏ bằng các cách thông thường.
Do hoạt động ở cấp độ hệ thống, Keenadu có thể chèn vào tiến trình Zygote, vốn là nền tảng khởi chạy mọi ứng dụng trên Android. Điều này cho phép mã độc xuất hiện trong không gian hoạt động của toàn bộ ứng dụng, từ đó mở rộng khả năng kiểm soát thiết bị.
Tin buồn dành cho người dùng Google Chrome
Phân tích cho thấy Keenadu có thể tải thêm các module độc hại, can thiệp vào ứng dụng và thực hiện nhiều hành vi khác nhau tùy theo mục tiêu. Trong đó, mục đích phổ biến nhất hiện nay là gian lận quảng cáo. Mã độc có thể âm thầm chạy nền, tự động truy cập website hoặc tương tác với ứng dụng để tạo lượt nhấp, qua đó mang lại doanh thu cho kẻ đứng sau.
Đáng chú ý, các thiết bị bị phát hiện nhiễm đều có dấu hiệu bị can thiệp ngay từ giai đoạn sản xuất, thay vì bị lây nhiễm sau khi đến tay người dùng. Điều này cho thấy rủi ro không còn nằm ở việc cài ứng dụng bên ngoài, mà xuất phát từ chính chuỗi cung ứng thiết bị.
Trong bối cảnh đó, người dùng gần như không thể tự xử lý nếu thiết bị đã bị cài mã độc ở firmware. Các chuyên gia cho rằng việc khắc phục sẽ phải phụ thuộc vào nhà sản xuất thông qua các bản cập nhật hệ thống. Trước khi có bản vá, người dùng nên hạn chế các thiết bị đáng ngờ với hệ thống nội bộ để giảm thiểu rủi ro.
Về phía Google, hãng cho biết tính năng Google Play Protect vẫn có thể phát hiện và vô hiệu hóa một số ứng dụng liên quan đến Keenadu. Tuy nhiên, giải pháp này chỉ mang tính tạm thời, không thể xử lý triệt để nếu mã độc đã tồn tại trong firmware.
