Theo hãng phần mềm bảo mật Check Point, ít nhất 10 triệu thiết bị Android đã được phát hiện bị nhiễm loại malware (phần mềm độc hại) có tên gọi HummingBad, xuất xứ Trung Quốc và có thể đã được cài đặt trên gần 85 triệu thiết bị trên khắp thế giới. 

Check Point đã theo dõi phần mềm độc hại trên kể từ khi nó được phát hiện vào tháng Hai và mới phát hành một phân tích về các mối đe dọa từ phần mềm này.

Theo Check Point, trong nhiều tháng, số thiết bị nhiễm là ổn định nhưng đã bất ngờ tăng vọt vào giữa tháng Năm.

HummingBad từ đâu ra?

Điều khiến HummingBad được đặc biệt chú ý đó là nhóm lập trình phát triển nó. Theo Check Point, nhóm phát triển phần mềm trên đến từ Yingmob, một hãng phân tích quảng cáo, hợp pháp có giá trị hàng triệu đôla Mỹ, đặt trụ ở Bắc Kinh (Trung Quốc).

Yingmob có một số đội lập trình theo dõi, phân tích các nền tảng quảng cáo. Trong số đó, đội chịu trách nhiệm tạo ra phần mềm độc hại trên có tên gọi 'Development Team for Overseas Platform' (Đội phát triển nền tảng ở nước ngoài). Đội này có 4 nhóm làm việc với tổng số 25 nhân viên."

HummingBad hoạt động như thế nào?

HummingBad bắt đầu ảnh hưởng tới các điện thoại bị nhiễm bằng kiểu tấn công tải tập tin tự động mà người dùng không hay biết (drive-by download), khi người dùng truy cập vào các website.

"Thành phần đầu tiên của phần mềm độc hại sẽ cố gắng chiếm quyền truy cập dữ liệu gốc trên một thiết bị với ... rootkit [phần mềm] khai thác nhiều lỗ hổng. Nếu thành công, kẻ tấn công sẽ có quyền truy cập đầy đủ một thiết bị," Check Point cho biết. "Nếu việc chiếm quyền dữ liệu gốc (root) không thành, một thành phần thứ hai sẽ sử dụng một thông báo cập nhật hệ thống giả mạo, lừa người dùng cấp quyền truy cập hệ thống cho HummingBad."

Việc truy cập này được sử dụng để tạo ra doanh thu quảng cáo lừa đảo -  có thể lên đến 300.000 USD mỗi tháng - thông qua việc ép người dùng thiết bị bị nhiễm tải các ứng dụng và nhấp vào quảng cáo. Check Point cho biết có gần 50.000 ứng dụng được cài đặt hàng ngày.

Check Point cũng cho biết lợi nhuận không chỉ chảy vào túi YingMob mà nó còn có thể chảy vào các nhóm, tổ chức khác khi công ty Trung Quốc này bán thông tin mà HummingBad thu thập được từ các thiết bị, hoặc thậm chí bán quyền truy cập vào một nhóm lớn các thiết bị bị nhiễm trên thị trường chợ đen.

Check Point không phải là người duy nhất theo dõi Yingmob, một phát ngôn viên của Google cho biết từ lâu đã nhận thức được sự phát triển nhanh chóng của các phần mềm độc hại đồng thời không ngừng cải tiến hệ thống để phát hiện ra các phần mềm độc hại.

Google cũng cho biết đang tích cực ngăn chặn việc cài đặt các ứng dụng bị lây nhiễm để giữ cho người dùng và các thông tin của họ an toàn.

Mức độ lây lan của HummingBad và cách phòng chống

Phần lớn các thiết bị bị ảnh hưởng bởi HummingBad là ở Trung Quốc và Ấn Độ,  lần lượt với 1,6 triệu và 1,35 triệu thiết bị. Philippines, Indonesia và Thổ Nhĩ Kỳ cũng nằm ở phía trên cùng của danh sách. Mỹ có 288.800 thiết bị bị nhiễm. Vương quốc Anh và Australia có ít hơn 100.000 thiết bị ảnh hưởng.

Các thiết bị Android chạy phiên bản Android KitKat chiếm 50% tổng số thiết bị bị nhiễm HummingBad. Tiếp sau là Jelly Bean với 40%, Lollipop: 7%; Ice Cream Sandwich: 2% và phiên bản mới nhất, Mashmallow: 1%.

Hiện chưa có bất kỳ thông tin nào được phát hành liên quan đến làm thế nào để người dùng kiểm tra phát hiện phần mềm độc hại HummingBad trên các thiết bị, hoặc làm thế nào để loại bỏ nó. Tuy nhiên, để tạo sự an tâm, người dùng có thể truy cập vào gian hàng ứng dụng Google Play để tải về các công cụ, ứng dụng quét và kiểm tra các nguy cơ lây nhiễm virus hay malware. Và đặc biệt, người dùng chỉ tải ứng dụng từ Google Play, và luôn có sự cẩn trọng khi nhấp chọn hoặc tải về thiết bị của mình bất cứ thứ gì trên mạng./.