Làm thế nào để điện thoại của bạn thoát khỏi 36,5 triệu Android bị mã độc Judy tấn công?

Mục đích của tin tặc khi dùng mã độc Judy tấn công thiết bị Android

Hồi tuần trước, Check Point, một công ty bảo mật đa quốc gia cho biết đã có khoảng 36,5 triệu thiết bị Android có khả năng bị nhiễm mã độc Judy. Cái tên “Judy” xuất phát từ việc các ứng dụng chứa mã độc do Kiniwini cung cấp đều mang tên gọi có chứa từ "Judy".

Theo Check Point, mã độc Judy được thiết lập với khả năng tự động truy cập vào các quảng cáo lừa đảo nhằm thu về khoản tiền lớn trả cho các hacker.

Ban đầu, mã độc này được tìm thấy trên 41 ứng dụng cung cấp bởi một công ty Hàn Quốc tên Kiniwini thuộc tập đoàn ENISTUDIO. Sau đó, ứng dụng độc hại này đã tăng nhanh khủng khiếp từ 4,5 triệu đến 18,5 triệu lượt tải xuống và lây nhiễm trên 36,5 triệu thiết bị. Về cơ bản, phần mềm độc hại sẽ tận dụng các thiết bị lây nhiễm để nhấp chuột vào quảng cáo và tạo ra doanh thu. 

 

Có một điều đặc biệt là nhiều ứng dụng bị nhiễm mã độc đã có tên trong danh sách các ứng dụng của Google Play Store trong nhiều năm qua nhưng tất cả những ứng dụng này hiện tại đều chưa được cập nhật.

Theo thông tin từ Google, đơn vị này đã xóa toàn bộ các ứng dụng chứa mã độc trên cửa hàng Play Store. Tuy nhiên, có thông tin cho rằng Kiniwini cũng phát triển các ứng dụng dành cho hệ điều hành iOS, do đó, không loại trừ khả năng mã độc Judy vẫn tồn tại trong các ứng dụng trên Appstore của Apple.

Để tìm hiểu kỹ hơn về mức độ nguy hiểm cũng như các thông tin liên quan đến mã độc mang tên “Judy”, báo chất lượng Việt Nam đã liên hệ với chuyên gia đến từ Công ty an ninh mạng Security Box.

Theo ông Tống Văn Toàn, CTO tại Security Box, qua phân tích sơ bộ, các chuyên gia của Security Box thấy rằng mã độc Judy thực chất chỉ thực hiện hành vi tự động click vào các banner quảng cáo của Google, qua đó chuộc lợi bằng cách thu tiền từ các website chứ không nhằm thu thập thông tin cá nhân của người dùng.

Tuy nhiên, đối với người dùng Android, mã độc này làm ảnh hưởng hiệu năng và tài nguyên của thiết bị như CPU, pin, băng thông mạng… Ngoài ra, người dùng cũng có thể bị mất tiền hoặc cài đặt ứng dụng không mong muốn từ các quảng cáo độc hại.

Cơ chế hoạt động và sự nguy hiểm của mã độc Judy

Để vượt qua cơ chế bảo vệ tự động từ Google Play, bản thân Judy không tự động thực hiện hành vi độc hại mà được điều khiển có chủ đích thông qua các máy chủ C&C. Phương pháp này đã được tìm thấy ở một số dòng khác như: FalseGuide hay Skinner.

Sau khi người dùng cài đặt và sử dụng các ứng dụng Judy, ứng dụng sẽ thực hiện kết nối tới các máy chủ C&C để nhận lệnh điều khiển. Lệnh điều khiển từ máy chủ C&C chứa các thông tin liên quan tới việc thực thi các lệnh tiếp theo. Ví dụ như hành vi tự động tìm và click vào các banner quảng cáo của Google.

Việc thực hiện click banner quảng cáo được thực hiện rất đơn giản nhưng hoàn toàn tự động:

+ Tải nội dung website đích về giống như việc người dùng duyệt web thông thường.

+ Tìm tất cả các quảng cáo từ Google và phù hợp với thông tin nhận được từ máy chủ C&C.

+ Thực hiện hành vi click lên banner quảng cáo.

Judy về bản chất không thu thập thông tin của người dùng mà chỉ thực hiện hành vi tự động tải và click quảng cáo từ các website có chủ đích để chuộc lợi.

Mặc dù nhà phát triển ENISTUDIO là nhà phát triển ứng dụng trên cả 2 nền tảng Android và iOS, tuy nhiên vào thời điểm hiện tại, SecurityBox chưa phát hiện mã độc Judy trên nền tảng iOS.

Tuy nhiên người dùng iOS cũng không nên quá chủ quan và tin tưởng tuyệt đối vào tính năng bảo mật và an toàn như Apple vẫn công bố. Trên thực tế vẫn có rất nhiều mẫu malware đã được tìm thấy trên Appstore.

Lời khuyên của chuyên gia an ninh mạng phòng tránh mã độc Judy

Ngay sau khi nhận được cảnh báo, Google đã tiến hành kiểm tra và gỡ bỏ toàn bộ các ứng dụng có chứa mã độc Judy ra khỏi chợ ứng dụng CHPlay. Tuy nhiên, theo chuyên gia an ninh của Security Box, trên bản thân máy của mỗi người và trên các chợ ứng dụng khác vẫn có thể đang tồn tại các phần mềm chứa mã độc này.

Do đó, người dùng có thể cài đặt các phần mềm an ninh trên thiết bị di động, hạn chế cài đặt các ứng dụng từ các bên thứ 3 và tuyệt đối không nên cài đặt các ứng dụng không rõ nguồn gốc. Nếu phát hiện thiết bị có những dấu hiệu bất thường, người dùng nên tìm tới các chuyên gia hoặc các đơn vị làm về bảo mật để được tư vấn và giúp đỡ kịp thời nhất.

Phía Security Box cũng cho rằng hiện tất khó để có một giải pháp mang tính toàn diện và giải quyết triệt để 100% nguy cơ an ninh cho người dùng. Rất nhiều ứng dụng trên các chợ ứng dụng Appstore, CHPlay, Amazon và đặc biệt là các chợ ứng dụng của các bên thứ 3 vẫn đang tồn tại rất nhiều phần mềm giả mạo, mã độc. Sau WannaCry trên máy tính, Judy đã đánh thêm một hồi chuông cảnh báo về các nguy cơ an ninh đối với người dùng trên mạng internet.

SecurityBox khuyên người dùng trước tiên cần tự trang bị cho mình những nhận thức về an ninh mạng, cài đặt các phần mềm bảo vệ, tăng cường các biện pháp đảm bảo an ninh thông tin cá nhân (xác thực nhiều bước, đặt mật khẩu mạnh), tránh sử dụng các phần mềm không rõ nguồn gốc và nên tham khảo ý kiến các chuyên gia ngay khi bị tấn công hoặc có dấu hiệu bị tấn công.

Bảo Bình