Trong quá trình quan sát hoạt động của nhiều nhóm tội phạm mạng, các nhà nghiên cứu tại Kaspersky Lab đã phát hiện hoạt động bất thường ở một mã code gây hại trên website bị lây nhiễm khiến người dùng Android gặp nguy hiểm, chủ yếu phiên bản 4 trở về trước. Mã code thường kích hoạt tải xuống dựa trên lỗ hổng Flash nhằm tấn công người dùng Windows.
Theo nghiên cứu của Kaspersky Lab, lây nhiễm thiết bị Android khó hơn nhiều so với lây nhiễm máy tính Windows. Nguyên nhân, hệ điều hành Windows và nhiều ứng dụng phổ biến của nó chứa những lỗ hổng giúp mã độc hoạt động mà không có bất kì tương tác nào với người dùng. Điều này thường không giống với trường hợp ở hệ điều hành Android, khi bất kì ứng dụng nào cài đặt đều đỏi hỏi xác nhận từ chủ thiết bị. Tuy nhiên, lỗ hổng hệ điều hành có thể bị khai thác để qua mặt giới hạn này.
Thiết bị sử dụng hệ điều hành Android phiên bản 4.1 x trở về trước dễ bị lây nhiễm phần mềm độc hại |
Có thể thấy, mã code là một tập hợp các hướng dẫn đặc biệt để thực hiện trên trình duyệt, được nhúng vào mã của trang web bị lây nhiễm. Mã code đầu tiên được phát hiện khi nó đang tìm kiếm các thiết bị hoạt động trên các phiên bản cũ của hệ điều hành Android. Hai mã code đáng ngờ hơn cũng đã được phát hiện sau đó. Kịch bản đầu tiên có thể gửi tin nhắn SMS đến bất kỳ số điện thoại di động nào, trong khi cái còn lại tạo ra các tập tin độc hại trên thẻ SD của thiết bị bị tấn công. Tập tin độc hại là Trojan, và nó có khả năng chặn và gửi tin nhắn SMS. Cả hai mã code độc hại đều có thể hoạt động độc lập với người dùng Android, khi chỉ cần thỉnh thoảng ghé thăm một trang web bị nhiễm là đã gặp nguy hiểm.
Điều này xảy ra vì tội phạm mạng đã lợi dụng nhiều lỗ hổng ở các phiên bản từ Android 4.1.x trở về trước, cụ thể là CVE-2012-6636, CVE-2013-4710 và CVE-2014-1939. Tất cả ba lỗ hổng này đã được Google vá lỗi từ năm 2012 đến năm 2014, nhưng nguy cơ bị khai thác vẫn còn tồn tại. Ví dụ, do những đặc điểm của hệ sinh thái Android, nhiều hãng sản xuất thiết bị Android đang phát hành các bản cập nhật bảo mật cần thiết quá chậm. Một số không hề phát hành bất kì bản cập nhật nào vì sự lạc hậu về kỹ thuật của thiết bị.
Victor Chebyshev, Chuyên gia bảo mật tại Kaspersky Lab chia sẻ: “Phương pháp khai thác chúng tôi tìm thấy trong quá trình nghiên cứu không mới mẻ gì ngoài việc vay mượn ý tưởng đã được các nhà nghiên cứu bảo mật máy tính công bố. Điều này có nghĩa là các nhà cung cấp thiết bị Android nên xét đến thực tế là việc công bố ý tưởng có thể dẫn đến sự xuất hiện của chiến tranh “vũ trang”. Người sử dụng các thiết bị xứng đáng được bảo vệ với bản cập nhật bảo mật tương ứng, thậm chí nếu các thiết bị không còn được bán vào thời điểm đó”.
Để tự bảo vệ mình trước các cuộc tấn công, chuyên gia Kaspersky Lab khuyên nên tuân thủ những bước sau: Giữ phần mềm trên thiết bị Android luôn được cập nhật bằng cách cho phép chức năng tự động cập nhật; giới hạn cài đặt ứng dụng từ nguồn khác Google Play, đặc biệt khi bạn đang quản lý hàng loạt thiết bị trong mạng lưới công ty; sử dụng giải pháp bảo mật đã được kiểm chứng.
Kaspersky Internet Security for Android và Kaspersky Security for Mobile với Mobile Device Management đều có thể phát hiện ra những thay đổi trên thẻ SD, do đó có thể bảo vệ người dùng trước các cuộc tấn công kể trên.