Xuất hiện mã độc có thể thay thế mã code ứng dụng Android

Các nhà nghiên cứu về bảo mật vừa phát hiện một mã độc malware có khả năng thay thế các đoạn mã (code) của các ứng dụng Android bằng các dòng code lệnh độc hại.

Theo các nhà nghiên cứu bảo mật, hiện mã độc này đã lây nhiễm tới hơn 25 triệu thiết bị. Các nhà nghiên cứu của Check Point đặt tên cho phần mềm độc hại là Agent Smith vì phương thức xâm nhập vào và thay thế vật chủ của nó tinh vi, tương tự nhân vật đặc vụ Smith trong loạt phim viễn tưởng Ma Trận (The Matrix), khiến chúng rất khó bị phát hiện.

Mã độc này không đánh cắp dữ liệu từ người dùng, thay vào đó nó hack các ứng dụng Android đang có trong máy và chèn vào nhiều quảng cáo hoặc lấy cước phí từ các đoạn quảng cáo mà chúng đã hiển thị để kẻ đứng sau mã độc này có thể thu lợi từ các lượt xem “ép buộc”.

Theo đó, mã độc sẽ ưu tiên tìm kiếm các phần mềm phổ biến như WhatsApp, Opera Mini hoặc Flipkart, sau đó thay thế một phần các dòng code của chúng và chặn không cho ứng dụng nhận các bản cập nhật mới.

 Mã độc malware có khả năng thay thế các đoạn mã (code) của ứng dụng Android. 

CheckPoint cho biết, hiện mã độc Agent Smith chủ yếu lây nhiễm tới các thiết bị Android ở Ấn Độ và các nước lân cận, do chúng chủ yếu lây lan thông qua một kho ứng dụng của bên thứ ba có tên là 9Apps khá phổ biến ở khu vực này.

Mã độc sẽ ẩn mình dưới các tiện ích vô thưởng vô phạt như chỉnh sửa ảnh, game hoặc các ứng dụng liên quan tới tình dục. Sau khi người dùng tải ứng dụng bị nhúng mã độc xuống, malware này sẽ tiếp tục ngụy trang thành một ứng dụng liên quan tới Google như Google Updater và bắt đầu quá trình xâm nhập để thay thế các dòng code của các ứng dụng hợp pháp có trên máy.

Theo TheVerge, dù tập trung ở Ấn Độ với việc lây nhiễm tới 15 triệu thiết bị ở nước này nhưng mã độc Agent Smith đã lan sang cả Mỹ với khoảng 300.000 thiết bị “dính đòn”. Thậm chí, những kẻ đứng sau mã độc này có vẻ như muốn mở rộng mức độ lây nhiễm của nó bằng việc lén lút chèn vào 11 ứng dụng để đưa lên Google Play. May mắn thay chúng chưa kịp kích hoạt thì đã bị Google phát hiện và gỡ bỏ.