Tizi – phần mềm độc hại mới trên các thiết bị Android

VietTimes - Nhóm chuyên gia bảo mật của Google đã phát hiện ra một phần mềm độc hại (malware) mới trên các thiết bị chạy hệ điều hành Android. Các chuyên gia bảo mật Google đã tìm hiểu về mục đích tấn công của mã độc này và đưa ra một số thủ thuật nhằm loại bỏ nó. 
Ảnh minh họa (ibTimes)
Ảnh minh họa (ibTimes)

Tizi được xếp vào nhóm phần mềm gián điệp, điều này có nghĩa là malware này có thể truy cập vào dữ liệu trong thiết bị của bạn.

Theo Google, Tizi có khả năng thâm nhập vào nhiều mục tiêu mặc dù mục tiêu chủ yếu của nó là nhằm vào các ứng dụng và các hoạt động trên mạng xã hội. Theo các kỹ sư bảo mật tại Google Threat Analysis và Google Play Protect, thì Tizi được tạo ra để sử dụng cho các mục đích sau:

- Ăn cắp thông tin từ các ứng dụng mạng xã hội như là Twitter, WhatsApp, Skype, Telegram, LinkedIn, Viber và Facebook.

- Ghi âm các cuộc gọi trên Skype, WhatsApp và Viber.

- Ghi âm các âm thanh xung quanh khi người dùng sử dụng micro.

- Chụp ảnh màn hình mà không cho người dùng biết.

- Gửi và chặn các tin nhắn SMS trên các phương tiện nhiễm malware này.

- Truy cập vào các sự kiện, các hình ảnh, các sổ điện thoại tự động, các khóa mã hóa Wi-Fi và các ứng dụng được cài trong thiết bị.

Khi phần mềm gián điệp này được cài vào một thiết bị, đầu tiên nó sẽ gửi tọa độ GPS của thiết bị thông qua SMS tới một máy chủ C&C (Các máy chủ C&C là các máy chủ Command và Control được sử dụng để gửi đi các lệnh từ xa tới các botnet, là mạng các thiết bị được kết nối internet). Các liên lạc sau đó với máy chủ C&C của kẻ tấn công diễn ra qua HTTPS và trong nhiều trường hợp biệt lập nhất định, là thông qua MQTT (cả HTTPS và MQTT đều là các giao thức liên lạc được sử dụng trên internet).

Phần mềm gián điệp này được các kỹ sư Google phát hiện hồi tháng 09/2017.

Thực ra các kỹ sư Google phát hiện ra phần mềm gián điệp này cũng hết sức may mắn khi các lần quét tự động của Google Play Protect – trình quét tự động trong ứng dụng Google Play Store – đã quét qua một ứng dụng bị nhiễm Tizi. Ứng dụng bị nhiễm này đã được cài đặt trong một thiết bị người dùng thông qua Google Play Store.

Phát hiện ra malware này buộc nhóm kỹ sư của Google tìm hiểu về các phiên bản cũ của ứng dụng này trên Play Store. Trong quá trình đó họ thậm chí còn phát hiện ra nhiều ứng dụng bị nhiễm Tizi hơn, một số phiên bản còn bị nhiễm từ tháng 10/2015.

Theo Google, sau đó họ đã gỡ các ứng dụng Tizi khỏi các thiết bị bị nhiễm malware này khi cài ứng dụng trên Google Play Store.

Trong khi đó, các dữ liệu do Google thu được cho biết rằng hầu hết những thiết bị người dùng bị nhiễm malware này chủ yếu ở các nước châu Phi. Tuy nhiên, vẫn chưa rõ kẻ phát tán/máy phát tán Tizi có phải từ châu Phi không.

Cho đến nay vẫn chưa thấy một thủ đoạn lớn nào nhằm lừa người dùng cài đặt các ứng dụng này với số lượng lớn. Các nhà nghiên cứu bảo mật cũng đồng quan điểm rằng phần mềm gián điệp này có thể chủ yếu được sử dụng cho các cuộc tấn công có định hướng vào một số lượng người dùng hạn chế mà chưa rõ lý do.

Theo Google, tính năng hoạt động của Tizi dựa vào những điểm yếu chỉ thấy trên các thiết bị chạy hệ điều hành Android cũ. Đồng thời, là một biện pháp cảnh giác để đảm bảo an toàn cho các thiết bị Android trước phần mềm độc hại này, Google cũng đề xuất một số thủ thuật sau:

Kiểm tra sự cho phép: Thận trọng với các ứng dụng yêu cầu cho phép truy cập vào thiết bị của bạn một cách vô lý. Ví dụ, một ứng dụng đèn flash sẽ không cần phải truy cập vào bất cứ điểm gì liên quan đến gửi tin nhắn SMS cả.

Thực hiện khóa màn hình an toàn: Google đề xuất người dùng sử dụng một hình thức bảo mật, PIN hoặc mật khẩu mà bạn dễ nhớ nhưng người khác không thể đoán được.

Luôn cập nhật thiết bị của bạn: Cài đặt các bản vá lỗi bảo mật mới nhất trên thiết bị của bạn là một phương thức cực kỳ hiệu quả, Google cho biết.

Cài đặt Google Play Protect: Đảm bảo rằng bạn đã kích hoạt ứng dụng Google Play Protect.