Theo The Hacker News, phần mềm độc hại nhỏ giọt (Dropper malware) trên Android được thiết kế để hoạt động như một đường dẫn nhằm cài đặt các mã độc trên thiết bị, khiến nó trở thành mô hình kinh doanh sinh lợi cho những kẻ tấn công, cũng như quảng cáo khả năng này cho các nhóm tội phạm khác.
Cài đặt hạn chế (Restricted Settings) là tính năng an ninh được giới thiệu từ phiên bản Android 13 nhằm ngăn các ứng dụng không thuộc kho lưu trữ Google Play truy cập vào mục Trợ năng và Trình nghe thông báo (Notification Listener). Nếu phát hiện ứng dụng yêu cầu các quyền này, Restricted Settings sẽ lập tức cảnh báo, ngăn chặn khiến người dùng không thể cấp các quyền này cho ứng dụng.
Theo ông Vũ Ngọc Sơn, Giám đốc kỹ thuật Công ty công nghệ an ninh mạng quốc gia Việt Nam NCS, quyền Trợ năng (Accessibility) là quyền đã được hàng loạt mã độc giả mạo ứng dụng thuộc cơ quan nhà nước sử dụng để điều khiển điện thoại, chiếm đoạt tiền của người dùng tại Việt Nam trong thời gian qua, thậm chí đã xảy ra trường hợp nạn nhân mất đến hơn 2 tỉ đồng chỉ trong vài phút. Các mã độc này chỉ có thể xâm nhập được vào các điện thoại Android 12 trở xuống, trong khi với các điện thoại Android 13 hoặc 14, chúng sẽ bị phát hiện và ngăn lại bởi Restricted Setting.
Tuy nhiên, kỹ thuật mới được các tin tặc áp dụng trong SecuriDropper là chia nhỏ việc cài đặt thành nhiều bước. Đầu tiên, một phần mềm giả mạo – không đòi quyền đặc biệt – sẽ được lừa để cài vào máy nạn nhân. Tiếp đến, phần mềm này sẽ gọi các API của Android để giả mạo một phiên cài đặt của Google Play, giúp nó có thể cài mã độc lên điện thoại và qua mặt được Restricted Settings.
Phương thức thâm nhập của SecuriDropper đã vượt qua hàng rào bảo mật của Android 14
Mã độc lúc này có thể xin được các quyền Trợ năng và Notification Listener mà không bị hệ điều hành phát hiện và ngăn chặn. Thậm chí người dùng đã nâng cấp lên Android 14 mới nhất cũng vẫn có thể bị mã độc tấn công theo phương thức này.
ThreatFabric, công ty an ninh mạng đến từ Hà Lan cho biết, đã quan sát thấy các trojan ngân hàng như SpyNote và ERMAC được phân phối qua SecuriDropper trên các website lừa đảo và nền tảng của bên thứ ba như Discord.
Trả lời The Hacker News, Google cho biết Restricted Settings sẽ thêm một lớp bảo vệ bổ sung ngoài xác nhận của người dùng, điều này là cần thiết để các ứng dụng truy cập vào mục cài đặt/quyền của Android. Người dùng cũng được bảo vệ bởi Google Play Protect, tính năng này có thể cảnh báo hoặc chặn các ứng dụng có hành vi nguy hiểm trên thiết bị Android bằng Google Play Services. Google đang liên tục xem xét các phương pháp tấn công và cải thiện khả năng phòng vệ của Android trước phần mềm độc hại để giúp giữ an toàn cho người dùng.
Để đảm bảo an toàn trước các cuộc tấn công, ông Vũ Ngọc Sơn khuyên người dùng Android nên tránh tải xuống file APK từ các nguồn không tin cậy.
