Malware lây nhiễm vào thiết bị di động như thế nào? Và cách phòng tránh
Các ứng dụng độc hại là một tai họa đối với người dùng điện thoại thông minh. Cho dù bạn sử dụng thiết bị di động iOS hay Android, chúng ta đều gật đầu đồng ý rằng một ứng dụng bị nhiễm phần mềm độc hại mang đến một ngày tồi tệ.
Tại sao người cung cấp phần mềm độc hại muốn lây nhiễm sang điện thoại thông minh của bạn với một ứng dụng bị nhiễm? Có hai lý do đơn giản: tiền và dữ liệu. Vậy làm thế nào để phần mềm độc hại tiếp cận được điện thoại của bạn và làm thế nào để tránh lây nhiễm?
Ứng dụng bị lây nhiễm ở mọi nơi
Đo lường sự phổ biến của các ứng dụng di động bị nhiễm phần mềm độc hại là rất khó. Nó giống như trong một khung cảnh có nhiều đối tượng đang chuyển động, việc chụp một bức hình rõ ràng là không thể được. Sự thật là không có duy nhất một hệ điều hành di động nào là miễn nhiễm. Người dùng Android gần đây đã gặp phải các cuộc tấn công của HummingWhale, Judy và Xavier, trong khi người dùng iOS phải đối mặt với XcodeGhost.
Theo một nghiên cứu được công bố vào năm 2014, như một phần của dự án ANDRUBIS, đã khảo sát một triệu ứng dụng Android (chính xác là 1.034.999), các ứng dụng được lấy mẫu từ nhiều nguồn khác nhau, bao gồm từ thị trường, link tải torrent và trang web không chính thức cung cấp các ứng dụng lậu (cũng như CH Play). Trong 125.602 ứng dụng được lấy từ CH Play thì có 1,6% là phần mềm độc hại (2009 ứng dụng).
Tuy nhiên, dữ liệu về ứng dụng độc hại cho App Store là rất hiếm. Có một số trường hợp xác minh rõ ràng về hoạt động của ứng dụng độc hại trên thiết bị iOS. Nhưng, đây là điểm bán hàng chính của iOS, do đó chúng được giảm thiểu đáng kể so với các đối tác Android của họ. Báo cáo về mối đe dọa điện thoại di động năm 2015 của Pulse Secure ước tính rằng 97% phần mềm độc hại di động được viết cho Android. Báo cáo của F-Secure về an ninh mạng năm 2017 là 99%. Sau đó, theo Bộ phận An toàn Quốc gia Hoa Kỳ năm 2013, ước tính chỉ có 0,7% phần mềm độc hại di động được viết cho iOS.
Đây là sự tương phản giữa hai hệ điều hành di động lớn.
Các ứng dụng bị lây nhiễm như thế nào?
Bạn nghĩ ai lây nhiễm malware vào một ứng dụng? Người sản xuất? Băng đảng tội phạm? Một cá thể? Có lẽ cả chính phủ? Vâng, tất cả đều đúng theo một vài cách.
Rõ ràng nhất là nhà phát triển “rởm” - một cá nhân thiết kế các ứng dụng có khả năng gây hại và công bố chúng trên CH Play (hoặc tương đương). May mắn cho người sử dụng không có nhiều những cá nhân như vậy.
Đó có thể là vì một lý do: sự nỗ lực cần thiết để phát triển, khởi chạy, và xây dựng một ứng dụng chỉ để sau đó biến nó phần mềm độc hại là khá cao. Vào thời điểm ứng dụng trở nên phổ biến, đủ để thu được lợi nhuận thật sự, nhà phát triển "rởm" có thể thu được nhiều lợi nhuận hơn từ doanh thu quảng cáo.
Phổ biến hơn chúng ta thấy mã độc hại được chèn vào một ứng dụng hiện có, sau đó được tái bản. Quá trình này sử dụng một số kỹ thuật khác nhau.
1. Malvertising - Quảng cáo độc hại
Malvertising - quảng cáo độc hại là một tai họa phổ biến của thế kỷ 21. Tiền đề rất đơn giản, bạn được cung cấp quảng cáo độc hại thông qua kênh chính thức. Bạn không mong đợi một cuộc tấn công độc hại thông qua một ứng dụng hợp pháp, do đó, họ "bẫy" người sử dụng bằng một cách bất ngờ.
Ví dụ điển hình cho ứng dụng quảng cáo độc hại của Android là Svpeng banking Trojan. Trojan được cài đặt chủ yếu qua các quảng cáo Google AdSense bị lây nhiễm cho người dùng Android. Bạn không thực sự phải click vào quảng cáo để bị lây nhiễm mà chỉ xem quảng cáo là đã quá đủ.
2. Ứng dụng tái phát hành
Các ứng dụng hợp pháp được tải xuống từ một cửa hàng chính thức đã bị nhiễm phần mềm độc hại. Sau đó, chúng được tái phát hành bằng cách sử dụng tên chính thức của họ.
Một tính năng chính của việc tái xuất bản ứng dụng là những biến thể nhẹ trong tên ứng dụng. Chẳng hạn như, thay vì Microsoft Word (phiên bản chính thức của Microsoft), nó sẽ là Micr0soft W0rd.
3. Bán ứng dụng
Theo thời gian, một nhà phát triển ứng dụng hợp pháp sẽ bán ứng dụng có giá trị của họ cùng với ứng dụng có nhiều người dùng.
Tuy nhiên, không có trường hợp nào được ghi nhận về phương pháp tấn công cụ thể này. Trên thực tế, các nhà phát triển ứng dụng phổ biến nhận được yêu cầu mua lại không phải là điều hiếm hoi. Sự cố tương tự xảy ra liên quan đến Tiện ích mở rộng của Chrome. Tiện ích Chrome mở rộng phổ biến, với quyền truy cập dữ liệu người dùng, cùng với hàng ngàn người dùng là một mỏ vàng thực sự.
Trợ giúp từ Apple và Google
Là hai chủ sở hữu của kho ứng dụng lớn và phổ biến nhất, những người khổng lồ công nghệ có trách nhiệm bảo vệ người dùng của mình. Đối với hầu hết các phần, họ có làm như vậy. Những ứng dụng độc hại gây tổn hại đến người dùng, cũng như danh tiếng của họ. Tuy nhiên, Apple là người dẫn đầu trong trường hợp này.
Apple
Apple chắc chắn là người dẫn đầu khi nói đến việc bảo vệ người dùng iOS từ các ứng dụng độc hại. Quá trình tạo và tải lên một ứng dụng cho App Store phức tạp hơn, đòi hỏi nhiều kiểm tra và đăng nhập trước khi nhấn vào cửa hàng. Ngoài ra, ứng dụng iOS có số lượng thiết bị sử dụng nhỏ hơn trong một phạm vi nhỏ hơn của các phiên bản hệ điều hành. Như vậy, tiêu chuẩn của Apple thường cao hơn Android.
Android
Google đã phải làm việc chăm chỉ để giảm số lượng ứng dụng độc hại trên CH Play. Với danh tiếng đang gặp rủi ro, Google đã giới thiệu Play Protect, "tấm chăn bảo vệ cho thiết bị di động của bạn". Play Protect chủ động quét thiết bị của bạn để tìm kiếm các ứng dụng độc hại. Hơn thế nữa, Play Protect tự quét chính CH Play cho những ứng dụng độc hại, tạm dừng những nhà phát triển và xóa những vi phạm.
Lẩn trốn phát hiện
Trong khi Google và Apple đang nỗ lực để giữ có thiết bị của họ không bị lây nhiễm thì những tác giả của phần mềm độc hại lại cố gắng lẩn trốn sự phát hiện. Đó là điều dễ hiểu.
Có một vài cách phổ biến mà kẻ tấn công sẽ che giấu mã độc của họ:
- Tải mã độc hại sau khi cài đặt.
- "Hóa trang" mã độc trong số các mã "sạch".
- Dựa vào việc phân phối thông qua một nguồn bên ngoài (ví dụ như quảng cáo độc hại).
- Che giấu ứng dụng độc hại trong môi trường khác.
Làm thế nào để tránh các phần mềm độc hại?
Như các bạn đã thấy, có vô số cách để lây nhiễm phần mền độc hại hoặc mã độc trong ứng dụng. Hơn nữa, chúng sử dụng một số phương pháp có sẵn để giữ mã độc ở chế độ ẩn - cho đến khi nó được triển khai tới điện thoại thông minh của bạn.
Vậy làm thế nào để tránh các phần mềm độc hại?
- Chỉ tải những ứng dụng từ cửa hàng ứng dụng chính thức và tránh các cửa hàng từ bên thứ ba.
- Kiểm tra quá trình download từ nhà phát triển ứng dụng danh tiếng và chính thức.
- Đọc đánh giá ứng dụng. Chúng sẽ cho bạn những thông tin cần thiết.
- Luôn luôn bật công cụ xác thực.
- Cảnh giác trước những đề xuất ứng dụng miễn phí.
- Cập nhật thiết bị thường xuyên.
Bạn có thể bảo vệ điện thoại Android của mình với một số ứng dụng bảo mật - diệt virus như ESET Mobile Security RC, Lookout Security & Antivirus, MalwareBytes Anti-Malware... và Avira Mobile Security, VirusBarrier cho iOS.
Nếu bạn đang sử dụng một thiết bị Android thì có rất nhiều ứng dụng độc hại trên thị trường. Do đó khi hiểu được các mối gây hại, bạn sẽ bảo vệ được bản thân và thiết bị của mình tốt hơn.