Một chiến dịch mã độc Android quy mô lớn và tinh vi mang tên Operation NoVoice vừa được các chuyên gia bảo mật từ McAfee Labs phanh phui. Với khả năng lẩn trốn trong các ứng dụng dường như vô hại trên Google Play, NoVoice đã âm thầm tấn công và chiếm quyền kiểm soát hơn 2,3 triệu thiết bị trên toàn thế giới. Đây không chỉ là một đợt phát tán phần mềm độc hại thông thường, mà là một hệ thống rootkit có khả năng tự phục hồi, tồn tại bền bỉ ngay cả khi người dùng khôi phục cài đặt gốc (factory reset).

NoVoice là gì và vì sao nó nguy hiểm?

NoVoice (được đặt tên theo một tệp âm thanh im lặng trong mã nguồn là R.raw.novioce) là một loại mã độc Android đa tầng, hoạt động dựa trên cơ chế plugin để thực hiện các hành vi phá hoại tùy biến.

• Vượt mặt Google Play: Mã độc này đã lách qua các hàng rào kiểm duyệt của Google để xuất hiện trong hơn 50 ứng dụng khác nhau.

• Chiếm quyền Root: Sử dụng tới 22 lỗ hổng khác nhau để tấn công vào nhân (kernel) và trình điều khiển GPU, từ đó giành quyền kiểm soát cao nhất đối với thiết bị.

• Tồn tại vĩnh viễn: Vì mã độc can thiệp trực tiếp vào phân vùng hệ thống và thay thế các thư viện lõi, việc khôi phục cài đặt gốc là vô hiệu.

• Tự chữa lành: Một tiến trình “Watchdog” sẽ kiểm tra thiết bị mỗi 60 giây để đảm bảo mã độc luôn hoạt động và tự động cài đặt lại nếu bị xóa.

Các tin tặc đứng sau NoVoice đã sử dụng chiến thuật “ẩn mình trong bóng tối” bằng cách đưa mã độc vào các ứng dụng công cụ phổ biến:

• Thể loại ứng dụng: Trình dọn dẹp bộ nhớ (phone cleaners), ứng dụng thư viện ảnh, trò chơi giải đố và các công cụ tiện ích.

• Ngụy trang tinh vi: Khi người dùng mở ứng dụng, chúng vẫn hoạt động bình thường như quảng cáo, không yêu cầu các quyền nhạy cảm bất thường để tránh gây nghi ngờ.

• Kỹ thuật Polyglot: Mã độc thực sự được giấu bên trong một tệp hình ảnh PNG bình thường. Dữ liệu độc hại được mã hóa và chèn vào sau thẻ kết thúc của ảnh, giúp nó đi qua các đợt quét an ninh tiêu chuẩn mà không bị phát hiện.

Cách thức tấn công của NoVoice

1. Ngay khi ứng dụng được mở, mã độc tiêm vào SDK Facebook sẽ chạy ngầm.

2. Nó thực hiện 15 bước kiểm tra để xác định xem thiết bị có phải là máy ảo (emulator) hay môi trường phân tích của các chuyên gia bảo mật hay không. Nếu phát hiện đang bị theo dõi, nó sẽ tự hủy và dừng hoạt động.

3. Sau khi vượt qua bước kiểm tra, nó kết nối với máy chủ điều khiển (C2) để tải xuống các plugin tiếp theo.

4. Máy chủ sẽ gửi các bản exploit “đo ni đóng giày” cho từng loại chipset và phiên bản nhân kernel của thiết bị nạn nhân.

5. Sau khi có quyền root, nó thay thế thư viện hệ thống quan trọng như libandroid_runtime.so.

6. Khởi chạy tiến trình giám sát để đảm bảo sự tồn tại bền vững.

7. Mỗi khi người dùng mở bất kỳ ứng dụng nào, mã của kẻ tấn công sẽ được thực thi đồng thời.

8. Kẻ tấn công có thể thực hiện bất kỳ nhiệm vụ nào, từ gian lận quảng cáo đến đánh cắp thông tin cá nhân.

Mặc dù NoVoice có cấu trúc mô-đun cho phép thực hiện mọi hành vi, nhưng mục tiêu lớn nhất mà các chuyên gia ghi nhận được là đánh cắp phiên đăng nhập WhatsApp. Mã độc sẽ trích xuất cơ sở dữ liệu đã mã hóa, các khóa giao thức Signal và mã ID đăng ký từ bộ nhớ máy. Với những thông tin này, kẻ tấn công có thể sao chép (clone) hoàn toàn tài khoản WhatsApp của nạn nhân sang một thiết bị khác mà không cần sự hiện diện của điện thoại chính, cho phép chúng đọc tin nhắn và mạo danh người dùng để lừa đảo.

Cuộc tấn công này nhắm mục tiêu chiến lược vào các thiết bị chạy phiên bản Android cũ.

Hacker tạo ra các website giả mạo cơ quan nhà nước hay các tổ chức tài chính uy tín như: Ngân hàng nhà nước Việt Nam (SBV), Sacombank (Sacombank Pay), Tổng công ty Điện lực miền Trung (EVNCPC), Hệ thống đặt lịch đăng kiểm ô tô (TTDK)… cài mã độc lên dưới vỏ bọc là các ứng dụng, rồi lừa người dùng tải về điện thoại, bằng nhiều kịch bản khác nhau như gửi email, nhắn tin qua các ứng dụng chat hoặc chạy quảng cáo trên các công cụ tìm kiếm…

Giao diện trang web giả mạo Ngân hàng nhà nước Việt Nam

Các biểu tượng bị RedHook sử dụng

Ứng dụng giả mạo được ngụy trang với tên giống ứng dụng thật, chỉ khác đuôi (ví dụ SBV.apk) và được lưu trữ trên đám mây Amazon S3, giúp tin tặc dễ dàng cập nhật, thay đổi và che giấu nội dung độc hại. Ngay khi được cài đặt xong, ứng dụng giả mạo yêu cầu người dùng cấp quyền truy cập sâu vào hệ thống, bao gồm quyền trợ năng (Accessibility) và quyền hiển thị lớp phủ (Overlay). Kết hợp hai quyền này, hacker có thể theo dõi thao tác người dùng, đọc nội dung tin nhắn SMS, lấy mã OTP, truy cập danh bạ, thậm chí thao tác thay người dùng mà không để lại dấu hiệu rõ ràng.

Dịch ngược mã nguồn của RedHook, các chuyên gia từ Trung tâm phân tích mã độc của Bkav phát hiện virus này tích hợp tới 34 lệnh điều khiển từ xa, bao gồm chụp ảnh màn hình, gửi/nhận tin nhắn, cài hoặc gỡ ứng dụng, khóa/mở thiết bị và thực thi các lệnh hệ thống. Chúng sử dụng API MediaProjection ghi lại toàn bộ nội dung hiển thị trên màn hình thiết bị rồi chuyển về máy chủ điều khiển. RedHook có cơ chế xác thực bằng JSON Web Token (JWT), giúp kẻ tấn công duy trì quyền kiểm soát thiết bị trong thời gian dài, kể cả khi thiết bị được khởi động lại.

Trong quá trình phân tích, Bkav phát hiện nhiều đoạn mã và chuỗi giao diện sử dụng ngôn ngữ Trung Quốc cùng nhiều dấu vết rõ ràng khác về nguồn gốc phát triển của nhóm tin tặc cũng như chiến dịch phát tán RedHook có liên hệ với các hoạt động lừa đảo từng xuất hiện tại Việt Nam. Chẳng hạn, việc sử dụng tên miền mailisa[.]me, một dịch vụ làm đẹp nổi tiếng bị lợi dụng trước đây, để phát tán mã độc cho thấy RedHook không hoạt động đơn lẻ mà là sản phẩm của chuỗi chiến dịch tấn công có tổ chức, được dàn dựng tinh vi cả về kỹ thuật lẫn chiến thuật lừa đảo. Các tên miền máy chủ điều khiển được sử dụng trong chiến dịch này bao gồm api9.iosgaxx423.xyz và skt9.iosgaxx423.xyz, đều là những địa chỉ ẩn danh đặt tại nước ngoài, không thể truy vết dễ dàng.

Dữ liệu trên điện thoại nạn nhân được nén lại bằng gzip rồi gửi về máy chủ C&C

Smartphone giờ đây là một công cụ thiết yếu, lưu trữ nhiều thông tin nhạy cảm liên quan đến tài chính, đời sống của mỗi người. Chính vì vậy, thiết bị luôn là đích nhắm tấn công hacker cùng với mã độc, virus mới được chúng tạo ra mỗi ngày.

Bkav khuyến cáo người dùng:

• Tuyệt đối không cài đặt các ứng dụng ngoài Google Play, đặc biệt là các tệp APK nhận qua tin nhắn, email hoặc mạng xã hội.
• Không cấp quyền trợ năng (Accessibility) cho các ứng dụng không rõ nguồn gốc.
• Các tổ chức cần triển khai biện pháp giám sát truy cập, lọc DNS và thiết lập cảnh báo các kết nối đến tên miền bất thường có liên quan hạ tầng điều khiển của mã độc. Nếu nghi ngờ bị lây nhiễm, lập tức ngắt kết nối Internet, sao lưu dữ liệu quan trọng, khôi phục cài đặt gốc (factory reset), thay đổi toàn bộ mật khẩu tài khoản, đồng thời liên hệ ngân hàng để kiểm tra tình trạng tài khoản.

bảo mật‘ />

Nhà nghiên cứu John Tuckner từ Secure Annex là người đã phát hiện ra bộ tiện ích mở rộng này. Tuckner bắt đầu điều tra sau khi phát hiện một tiện ích mở rộng có tên “Fire Shield Extension Protection”, tiện ích này có mã mã hóa cao và có khả năng thực hiện các chức năng không rõ ràng. Trong quá trình điều tra, Tuckner tìm thấy thêm những tiện ích mở rộng khác liên quan đến một tên miền gọi là “unknow.com”, chúng tự nhận là cung cấp dịch vụ chặn quảng cáo hoặc bảo vệ quyền riêng tư.

Tuy nhiên, những tiện ích này đều yêu cầu quyền truy cập quá mức, cho phép thực hiện các hành động thứ dữ. Mặc dù không có bằng chứng cụ thể cho thấy những tiện ích này đánh cắp thông tin tài khoản hoặc cookie, nhưng mức độ rủi ro cao và mã hóa phức tạp khiến chúng được coi là tệ hại, thậm chí có thể là phần mềm gián điệp.

Tuckner cho biết có dấu hiệu cho thấy các tiện ích này có khả năng kiểm soát thông qua việc thu thập thông tin từ trình duyệt người dùng và thực hiện nhiều các hành động khả nghi khác. Theo lời Tuckner, “Nhiều chức năng này chưa được xác nhận, nhưng sự hiện diện của những khả năng này trong 35 tiện ích mở rộng đang khiến người dùng lo ngại hơn.” Trong khi một số tiện ích đã bị gỡ bỏ khỏi cửa hàng Chrome sau khi được báo cáo, một số khác vẫn tồn tại.

Người dùng được khuyến nghị ngay lập tức gỡ bỏ các tiện ích mở rộng này nếu như trên trình duyệt của mình. Họ cũng nên tự bảo vệ bằng cách đổi mật khẩu cho các tài khoản trực tuyến. Google cho biết hiện đang tiến hành điều tra sau báo cáo của Tuckner về các tiện ích này. Sự phát hiện này là lời nhắc nhở cho người dùng về tầm quan trọng của việc kiểm soát các tiện ích mở rộng mà họ cài đặt, vì không phải tất cả đều an toàn như chúng ta mong đợi. Chỉ cần một sai lầm nhỏ có thể dẫn đến rủi ro bảo mật lớn đối với dữ liệu cá nhân.

Cyberhaven quy trách nhiệm cho một email lừa đảo về cuộc tấn công này, cho biết rằng mã độc được thiết kế đặc biệt nhằm vào tài khoản quảng cáo Facebook. Theo Reuters, nhà nghiên cứu an ninh Jaime Blasco cho biết cuộc tấn công có thể là “ngẫu nhiên” và không phải là một cuộc tấn công có chủ đích vào Cyberhaven. Ông cũng đã phát hiện ra các tiện ích mở rộng VPN và AI chứa mã độc giống như mã đã được chèn vào Cyberhaven.

Ngoài Cyberhaven, một số tiện ích mở rộng khác có thể bị ảnh hưởng bao gồm Internxt VPN, VPNCity, Uvoice và ParrotTalks, theo thông tin từ Bleeping Computer. Cyberhaven cho biết tin tặc đã phát hành một bản cập nhật (phiên bản 24.10.4) cho tiện ích mở rộng ngăn chặn mất mát dữ liệu của họ vào tối Giáng sinh lúc 8:32 PM ET. Công ty này phát hiện ra mã độc vào lúc 6:54 PM ET ngày 25 tháng 12, và đã xóa nó trong vòng một giờ, nhưng mã độc vẫn hoạt động cho đến 9:50 PM ET cùng ngày. Cyberhaven đã phát hành phiên bản sạch trong bản cập nhật 24.10.5.

Để bảo vệ các công ty có thể bị ảnh hưởng, Cyberhaven khuyến nghị họ kiểm tra nhật ký của mình để phát hiện hoạt động bất thường và thu hồi hoặc thay đổi bất kỳ mật khẩu nào không sử dụng tiêu chuẩn xác thực đa yếu tố FIDO2.

Theo như thông tin từ nhà nghiên cứu bảo mật g0njxa, thời gian qua, những kẻ tấn công đã tạo ra những website giả mạo, mạo danh một phần mềm chỉnh sửa video và hình ảnh có tên EditPro. Những trang web này được quảng cáo trên các kết quả tìm kiếm và mạng xã hội với những video deepfake chính trị nổi bật, chẳng hạn như video tổng thống Biden và Trump cùng nhau ăn kem, nhằm thu hút người dùng. Khi người dùng nhấn vào những hình ảnh này, họ sẽ được dẫn đến các trang web giả mạo ứng dụng EditProAI, với editproai[.]pro chuyên đẩy mã độc cho Windows và editproai[.]org cho macOS.

Những trang web này được thiết kế rất chuyên nghiệp để trông có vẻ hợp pháp, thậm chí còn sử dụng những biểu ngữ cookie phổ biến để tạo độ tin cậy. Tuy nhiên, nếu người dùng nhấn vào các liên kết “Get Now”, họ sẽ tải xuống một tệp thực thi giả mạo EditProAI. Đối với người dùng Windows, tệp này có tên “Edit-ProAI-Setup-newest_release.exe” và đối với macOS, tên của tệp là “EditProAi_v.4.36.dmg”.

Mã độc trên Windows đã được ký bởi một chứng chỉ mã hóa mà có vẻ như là đã bị đánh cắp từ nhà phát triển công cụ miễn phí Softwareok.com. G0njxa cũng cho biết, mã độc này sử dụng một bảng điều khiển tại “proai[.]club/panelgood/” để gửi dữ liệu bị đánh cắp, và thông tin này có thể được thu hồi bởi kẻ tấn công sau đó.

Một báo cáo từ AnyRun cho thấy quá trình hoạt động của biến thể Windows, khi dịch vụ sandbox đã nhận diện mã độc này là Lumma Stealer. Nếu bạn đã tải xuống phần mềm này trước đây, hãy coi chừng, mọi tài khoản đăng nhập và ví điện tử của bạn có thể đã bị xâm phạm. Bạn cần ngay lập tức thay đổi mật khẩu cho tất cả các tài khoản và dịch vụ mà bạn sử dụng, cùng với việc kích hoạt xác thực hai yếu tố cho những tài khoản nhạy cảm, như sàn giao dịch tiền điện tử, ngân hàng trực tuyến và các dịch vụ tài chính khác.

Mã độc chuyên ăn cắp thông tin đã gia tăng đáng kể trong những năm gần đây, với nhiều chiến dịch quy mô lớn diễn ra nhằm đánh cắp thông tin đăng nhập của người dùng. Những kẻ tấn công không ngừng cải tiến thủ đoạn của mình, từ việc sử dụng lỗi bảo mật zero-day, cho đến việc đưa ra những giải pháp giả mạo trên GitHub và thậm chí là những câu trả lời giả mạo trên các diễn đàn như StackOverflow. Những thông tin đăng nhập bị đánh cắp sau đó sẽ được sử dụng để xâm nhập vào các mạng lưới công ty, thực hiện các cuộc tấn công ăn cắp dữ liệu tương tự như những vụ xâm nhập tài khoản lớn trong quá khứ.

Đứng trước những mối đe dọa này, người dùng cần nâng cao cảnh giác và có những biện pháp bảo mật thích hợp để bảo vệ thông tin cá nhân của mình.

Windows Security dù là phần mềm kèm theo Windows 11 nhưng nó được đánh giá là một trong những phần mềm diệt virus đáng tin cậy và hiệu quả nhất hiện nay. Windows Security sẽ mặc định được chạy ngầm trên máy tính của bạn khi khởi động.

Tuy nhiên vì lý do nào đó, bạn cần vô hiệu hóa Windows Security trên Windows 11? Có vài cách để tắt Windows Security trên Windows 11, mời các bạn xem hướng dẫn chi tiết dưới đây nhé.

Cách tắt Windows Security trong Settings

Bạn có thể tắt tạm thời Windows Security bằng các bước sau:

1. Vào Settings > Privacy & Security > chọn tiếp mục Windows Security. Nhìn sang bên phải bạn chọn tiếp mục Virus & threat protection.
   
2. Cuộn xuống dưới bạn và bấm vào mục Manage Settings bên dưới Virus & threat protection settings.
   
3. Bạn tắt công tắc mục Real-time Protection là thành công.
   

Tắt Windows Security bằng Defender Control

Defender Control là phần mềm miễn phí và không cần cài đặt. Bạn vào đây để tải phiên bản mới nhất. Mình test thử ứng dụng này trên Windows 11 và nó cũng tắt Windows Security thành công.

Cách sử dụng Defender Control rất đơn giản. ba có thể bật tắt nhanh Windows Defender bằng một trong các cách sau.

– Trên giao diện sử dụng: Bạn sẽ thấy hai nút bấm.

• Bấm Disable Windows Defender đế tắt.
• Bấm Enable Windows Defender để bật lại.

Trạng thái Windows Defender đang hoạt động với màu xanh lá. 

Trạng thái Windows Defender không thể hoạt động khi bật lại do chức năng bảo vệ thời igan thực đang bị tắt. 

Trạng thái Windows Defender khi bị tắt với màu đỏ trên chương trình.

– Trong khay hệ thống: Bạn bấm chuột phải lên biểu tượng Defender Control (hình tường lửa)  và chọn.

• Enable Windows Defender: Bật lại
• Disable Windows Defender: Tắt đi.

– Trên Command Prompt: Gõ cm trong hộp tìm kiếm Cortana hay hộp Run > nhập lệnh.

• DefenderControl.exe /E > bấm Enter – Bật Windows Defender.
• DefenderControl.exe /D > bấm Enter – Tắt Windows Defender.

Trên giao diện Defender Control còn có một số chức năng cho phép bạn mở nhanh Windows Defender (Open Security Center), Windows Security trong Settings (Menu > Defender Settings), ẩn cửa sổ khi khởi động hay khi thu nhỏ, thay đổi ngôn ngữ,…

Tắt Windows Security bằng trình diệt virus khác

Bên cạnh cách tắt Windows Security trực tiếp, bạn còn có thể gián tiếp tắt Windows Security bằng cách cài đặt một phần mềm diệt virus khác. Phương pháp này khá đơn giản bởi khi bạn cài đặt trình diệt virus khác, Windows Security sẽ tự động ngừng các hoạt động của nó.

Để tắt Windows Security bằng cách dùng phần mềm diệt virus khác bạn làm theo những bước sau:

1. Cài đặt ứng dụng diệt virus khác (như Kaspersky, AVG, BitDefender)…
   
2. Sau khi bạn cài đặt xong phần mềm diệt virus, trình diệt virus tích hợp của Windows 10 (Windows Security) sẽ bị vô hiệu hóa. Bạn có thể kiểm tra bằng cách mở Windows Security lên, bấm vào mục Settings > chọn Security providers > Bên dưới mục Antivirus bạn sẽ thấy Microsoft Defender Antivirus đang bị tắt.

Trên đây là các cách để tắt Windows Security (hay trước đây là Windows Defender) trên Windows 11. Hy vọng bài viết sẽ giúp ích cho bạn.

Những rủi ro khi tắt Windows Security

Khi bạn tắt Windows Security, máy tính của bạn sẽ mất đi lớp bảo vệ quan trọng khỏi virus, mã độc và các mối đe dọa khác. Điều này có thể dẫn đến:

• Máy tính bị nhiễm virus và mã độc, ảnh hưởng đến hiệu suất và dữ liệu cá nhân.
• Không có cảnh báo kịp thời khi có những nguy cơ bảo mật.
• Khó khăn trong việc khôi phục dữ liệu nếu đối mặt với tấn công từ ransomware hay malware.

Tìm hiểu về các giải pháp bảo mật thay thế

Nếu bạn quyết định tắt Windows Security, hãy đảm bảo rằng bạn đã cài đặt một phần mềm diệt virus khác có độ tin cậy cao. Nên tham khảo những điều sau:

• Chọn phần mềm diệt virus đã được chứng nhận từ các tổ chức bảo mật uy tín.
• Đảm bảo phần mềm bạn chọn có tính năng bảo vệ thời gian thực, quét virus định kỳ và cập nhật thường xuyên.
• Xem xét lựa chọn phần mềm có tính năng bảo vệ chống ransomware và phishing.

Cách khôi phục Windows Security

Nếu bạn muốn khôi phục Windows Security sau khi đã tắt, bạn chỉ cần thực hiện các bước sau:

1. Vào Settings > Privacy & Security > Windows Security.
2. Chọn Virus & threat protection và sau đó chọn Manage settings.
3. Bật lại Real-time Protection.

Các biện pháp an ninh khác bạn nên xem xét

Ngoài việc sử dụng Windows Security hoặc phần mềm diệt virus khác, bạn cũng nên áp dụng các biện pháp bảo mật khác như:

• Sử dụng tường lửa bổ sung để bảo vệ máy tính khỏi các mối đe dọa từ mạng.
• Thường xuyên sao lưu dữ liệu quan trọng để phòng tránh mất mát.
• Luôn cập nhật hệ điều hành và các phần mềm khác để đảm bảo độ an toàn.
• Cẩn thận khi nhấp vào liên kết hoặc tải xuống tệp từ nguồn không đáng tin cậy.

Việc hiểu rõ các rủi ro cũng như các biện pháp bảo mật là rất quan trọng để bảo vệ dữ liệu cá nhân và đảm bảo hoạt động an toàn cho máy tính của bạn.

Các lỗ hổng này có thể cho phép các hacker từ xa bí mật kiểm soát hoàn toàn các thiết bị của Apple chỉ bằng cách gửi email đến bất kỳ cá nhân nào được nhắm mục tiêu bằng tài khoản email của mình đã đăng nhập vào ứng dụng mã độc.

Theo các nhà nghiên cứu về an ninh mạng tại ZecOps, các lỗi này nằm trong thư viện MIME của ứng dụng Mail trên iPhone hay iPad. Mặc dù cả hai lỗ hổng đều được kích hoạt trong khi xử lý nội dung của email, lỗ hổng thứ hai nguy hiểm hơn vì nó có thể bị khai thác mà không cần tương tác từ nạn nhân.

Theo các nhà nghiên cứu, cả hai lỗ hổng tồn tại trong các mẫu iPhone và iPad khác nhau trong 8 năm qua kể từ khi iOS 6 được ra mắt và thật không may, nó tồn tại đến cả iOS 13.4.1 mới nhất nên có thể nói nó chưa được vá lỗi.

Điều đáng lo ngại hơn là nhiều nhóm hacker đã khai thác những lỗ hổng này trong ít nhất 2 năm qua để nhắm vào các cá nhân từ các ngành và tổ chức khác nhau.

“Với dữ liệu hạn chế, chúng tôi thấy có ít nhất sáu tổ chức đã bị khai thác bởi lỗ hổng này – và phạm vi lạm dụng toàn bộ lỗ hổng này là rất lớn”, các nhà nghiên cứu cho biết.

Theo các nhà nghiên cứu, người dùng Apple có thể khó biết liệu họ có bị nhắm mục tiêu như một phần của các cuộc tấn công mạng này hay không vì kẻ tấn công xóa email chứa mã độc ngay sau khi truy cập từ xa vào thiết bị của nạn nhân.

Tuy nhiên, để kiểm soát hoàn toàn thiết bị từ xa, hacker cần kết hợp nó với một lỗ hổng riêng liên quan đến nhân hệ thống (kernel). Các nhà nghiên cứu đã phát hiện ra các cuộc tấn công này khoảng hai tháng trước và báo cáo với nhóm bảo mật của Apple.

Tại thời điểm viết bài, chỉ có phiên bản beta 13.4.5 của iOS, được phát hành vào tuần trước, chứa các bản vá bảo mật cho cả các lỗ hổng này.

Đối với hàng triệu người dùng iPhone và iPad, một bản vá phần mềm cụ thể là iOS 13.4.5 sẽ sớm được cung cấp. Trong khi đó, người dùng Apple được khuyến cáo không nên sử dụng ứng dụng Mail trên điện thoại của mình hoặc tạm thời chuyển sang ứng dụng Outlook hoặc Gmail.

Theo TheHackerNews

Zero-days là khái niệm chỉ các lỗ hổng chưa được vá bởi nhà cung cấp phần mềm hoặc phần cứng bị ảnh hưởng và nó cho phép kẻ tấn công nhắm bất kỳ mục tiêu nào đang sử dụng sản phẩm. Mặc dù không có giá cố định cho các “món hàng” này, một số nền tảng mua lại lỗi bảo mật như Zerodium đã trả cho các hacker từ 2.000 đến 2.500.000 đô la, tùy thuộc vào “mức độ phổ biến và bảo mật của phần mềm/hệ thống bị ảnh hưởng, cũng như lỗi có thể khai thác.”

Trang Motherboard xác nhận sự tồn tại của hai lỗi cho Zoom dành cho Windows và macOS ở trên bởi hai hacker ẩn danh. Một trong số họ nói rằng lỗi Windows zero-day là một lỗ hổng có thể khai thác mã độc từ xa và cho phép hacker thực hiện mã tùy ý trên các máy tính Windows đang họp bằng Zoom và thậm chí kiểm soát hoàn toàn máy tính này nếu được kết hợp với các lỗi khác. Mức giá 500.000 USD cho lỗi này cũng đủ chứng minh nó rất nguy hiểm.

Tuy nhiên, việc khai thác đòi hỏi hacker phải ở cùng một cuộc họp với mục tiêu làm giảm đáng kể giá trị của nó theo quan điểm của một hacker khác và do đó cũng giảm bớt sự hấp dẫn với một số đối tượng. Trong khi đó lỗi khai thác trên macOS ít gây ảnh hưởng lớn hơn.

Zoom cũng đã phản hồi về những lỗ hổng này: “Zoom rất coi trọng vấn đề bảo mật người dùng. Từ khi biết về những tin đồn này, chúng tôi đã làm việc suốt ngày đêm với một công ty bảo mật hàng đầu trong ngành bảo mật để điều tra chúng. Cho đến nay, chúng tôi không tìm thấy bất kỳ bằng chứng nào chứng minh những tuyên bố này.”

Có thể nói sau một giai đoạn ngắn phát triển bùng nổ do dịch COVID-19 khiến mọi người có nhu cầu họp từ xa hơn, Zoom đang bị ảnh hưởng bởi một loạt các vấn đề bảo mật, phải vá lỗ hổng liên tục. Trước đó, hơn 500.000 tài khoản Zoom cũng đã được bán trên các diễn đàn hacker và darkweb.

Trước đó nữa, vào cuối tháng 3, Zoom đã xóa SDK Facebook khỏi ứng dụng Zoom trên iOS sau khi bị cáo buộc nó đã thu thập và gửi thông tin thiết bị đến các máy chủ của Facebook. Vào tháng 4, Zoom đã khắc phục các sự cố bảo mật macOS do Patrick Wardle phát hiện, cũng như sự cố UNC link có thể cho phép kẻ tấn công đánh cắp thông tin đăng nhập Windows NTLM của người dùng hoặc khởi chạy từ xa.

Bắt đầu từ ngày 4 tháng 4, Zoom cho phép tính năng Phòng chờ cho phép host kiểm soát khi người tham gia cuộc họp, giờ đây yêu cầu mật khẩu khi lên lịch các cuộc họp mới, cuộc họp tức thời hoặc hội thảo trên web và đã xóa ID cuộc họp khỏi thanh tiêu đề khi tiến hành cuộc họp. Các biện pháp này đã được thực hiện để cung cấp cho người dùng Zoom các công cụ chống lại mối đe dọa ngày càng tăng của các vụ đánh bom Zoom theo cảnh báo của FBI từ tháng 3.

Trải Nghiệm Số có một hướng dẫn đầy đủ về những bước cần thiết để bảo mật các cuộc họp trực tuyến đúng cách khỏi các cuộc tấn công ném bom Zoom.

Ngoài ra nếu lo ngại về Zoom, bạn có thể tham khảo thêm các công cụ khác.

Norton Family là phần mềm để phụ huynh theo dõi các hoạt động của con cái trên internet và giới hạn quyền truy cập theo sự lựa chọn của bạn.

Dưới đây là các tính năng của Norton Family khi bạn đăng ký:

• Giám sát trang web: bạn có thể thấy được các trang web mà con bạn truy cập và chặn truy cập vào các trang web mà bạn không muốn bé truy cập.
• Giám sát thời gian: Bạn có thể điều chỉnh thời gian cho phép con bạn dùng intenet.
• Giám sát tìm kiếm: Bạn có thể xem các từ, cụm từ hoặc câu và theo dõi con bạn theo đó.
• Giám sát video: Bạn có thể kiểm tra các video mà con bạn xem qua ứng dụng YouTube.
• Giám sát ứng dụng di động: cho phép bạn kiểm tra các ứng dụng di động mà con bạn đã tải xuống từ Google Play Store hoặc App Store hoặc thậm chí được tải vào thiết bị của bạn.
• Bảo vệ thông tin cá nhân: Ngăn con bạn đưa ra bất kỳ thông tin cá nhân nào như số điện thoại, địa chỉ, địa chỉ trường học, v.v. hoặc bất kỳ thông tin nào khác ở bất cứ đâu trực tuyến.
• Khóa tức thì: Nếu bạn cần chặn truy cập vào thiết bị của mình bất cứ lúc nào, chỉ cần sử dụng tùy chọn này cho khóa thiết bị tức thời khẩn cấp.
• Cảnh báo qua email: Nếu con bạn đang cố truy cập vào một trang bị chặn, thì ngoài việc chặn nó, Norton cũng sẽ gửi cho bạn một email để bạn có thể quyết định nói chuyện với bé ngay lập tức.
• Báo cáo hàng tuần và hàng tháng: Tất cả các dữ liệu trên cũng sẽ được trình bày cho bạn trong báo cáo hàng tuần hoặc hàng tháng, bạn có thể chuyển tiếp đến người giám sát con hoặc bác sĩ hoặc bất kỳ ai cần biết.

Hiện tại Norton Family đang cho phép phụ huynh sử dụng miễn phí trong 6 tháng.

Lấy Norton Family 6 tháng tại đây.

Trend Micro™ Maximum Security (6 tháng)

Trend Micro™ Maximum Security giúp bảo mật thông minh tất cả các kết nối của bạn.

Ứng dụng gồm các tính năng chính:

• Bảo vệ tất cả các thiết bị: Bảo mật tương đồng cho máy tính cá nhân (PC), máy Mac và các thiết bị di động.
• Bảo mật các giao dịch: Giao dịch ngân hàng với Pay Guard để đảm bảo tính hợp pháp của các trang web tài chính.
• Chặn các mối đe dọa trên mạng: Bảo vệ khỏi phần mềm gián điệp và các mối nguy hiểm trực tuyến khác.
• Bảo vệ quyền riêng tư: Ngăn chặn các trang mạng nguy hiểm có thể lấy cắp dữ liệu cá nhân.
• Bảo vệ trẻ em: Cho phép trẻ em lướt web an toàn trong giới hạn về thời gian và nội dung.
• Tối ưu hiệu suất: Khắc phục những sự cố thông thường và duy trì hệ thống hoạt động ở tốc độ tốt nhất.
• Tránh gian lận và lừa đảo: Bảo vệ khỏi các thư điện tử lừa đảo trên mạng.
• Quản lý mật khẩu dễ dàng: Tạo và quản lý mật khẩu phức tạp và thông tin đăng nhập bảo mật cho các trang web yêu thích của bạn.

Để lấy Trend Micro™ Maximum Security (6 tháng), bạn hãy vào trang web này và điền theo form để nhận key bản quyền.

ESET Internet Security 2020 (3 tháng)

ESET Internet Security 2020 là ứng dụng bảo mật toàn diện của nhà phát triển ESET giúp máy tính của người dùng chống lại virus, phần mềm gián điệp, sâu máy tính và các loại phần mềm độc hại khác.

Ứng dụng này còn có nhiều tính năng hữu ích như tường lửa riêng, chống spam, chống trộm và hỗ trợ phụ huynh kiểm soát con trẻ.

Các tính năng chính của ESET Internet Security 2020:

• Bảo vệ đa nền tảng: Bảo vệ tất cả thiết bị của bạn bằng một license bao gồm Windows, Mac, Android hay Linux.
• Bảo vệ sự riêng tư và giao dịch ngân hàng: Ngăn chặn truy cập bất hợp pháp trên máy tính và chống mất dữ liệu.
• Bảo vệ webcam và Internet của bạn: Kiểm tra router gia đình và thiết bị thông minh để kịp thời phát hiện lỗ hổng.
• Chống trộm: Đảm bảo an toàn bằng cách theo dõi và xác định vị trí máy tính phòng khi nó bị mất hoặc bị trộm và nhận diện danh tính kẻ cắp qua camera trên laptop.
• Sử dụng tài nguyên tối thiểu: Chơi game, làm việc và duyệt web không chậm chạp.

Lấy bản quyền ESET Internet Security 2020 3 tháng tại đây.

F‑Secure SAFE (12 tháng)

F-Secure SAFE là giải pháp bảo mật toàn diện cho thiết bị cá nhân của bạn. Với công nghệ quét Deepguard thông minh, F-Secure SAFE có thể cập nhật dữ liệu thường xuyên giúp bảo vệ an toàn thiết bị của bạn khỏi những những mối nguy hại từ các mã độc mới nhất.

Các tính năng chính:

• Diệt virus: Bảo vệ các thiết bị khách hàng khỏi virus và các mã độc nguy hại trên Internet. F-Secure sẽ cung cấp một tường lửa cho thiết bị cá nhân nhằm bảo vệ người dùng trước những nguy cơ xâm nhập và rò rỉ thông tin trong suốt quá trình truy cập Internet, đặc biệt là các website giao dịch trực tuyến.
• Bảo vệ trình duyệt: F-Secure sẽ cung cấp một tường lửa cho thiết bị cá nhân nhằm bảo vệ người dùng trước những nguy cơ xâm nhập và rò rỉ thông tin trong suốt quá trình truy cập Internet, đặc biệt là các website giao dịch trực tuyến.
• Bảo vệ kết nối: Các mạng Wifi công cộng có thể được xem như một mối nguy hại đối với thiết bị thông minh. F-Secure SAFE sẽ kiểm tra và xác nhận kết nối đó có an tòan hay không. F-Secure sẽ hoạt động ngầm trong thiết bị và sẽ kiểm tra bất kì mạng nào mà khách hàng kết nối tới.
• Bảo vệ trể nhỏ: F-Secure SAFE giúp thiết lập các điều khoản sử dụng internet cho gia đình. Bạn có thể chặn truy cập đối với các website có nội dung người lớn, bạo lực, mua sắm, cờ bạc, mạng xã hội…F-Secure sẽ giúp bạn chặn các nội dung cấm cho con trẻ và quản lý thời gian sử dụng thiết bị bằng cách thiết lập các giới hạn sử dụng thiết bị.
• Chức năng tìm kiếm: Thật dễ dàng để kiểm tra vị trí của điện thoại với F-Secure. Trên Android, bạn cũng có thể khóa thiết bị bị mất hoặc xóa tất cả thông tin của bạn để ngăn người khác truy cập các tệp cá nhân của bạn, như ảnh và email
• Tối ưu hiệu năng: Tối ưu hóa toàn bộ hiệu suất của máy tính cho việc chơi game nhằm đảm bảo bạn có hiệu suất tối ưu nhất mà không cần phải tắt phần mềm diệt virus.

Lấy key bản quyền 1 năm F-Secure SAFE tại đây.

Lý do gì mà các chương trình này không phát hiện ra? Thứ nhất, các phần mềm này vẫn chưa được định danh và thứ hai, chúng sử dụng các tiện ích hệ thống theo cách thức hoàn toàn hợp pháp và nó sẽ dùng các công cụ này để mở rộng chức năng can thiệp thay vì chủ động sử dụng bất kỳ đoạn mã độc hại riêng nào của mình.

Với việc dùng các công cụ hợp pháp được cài trong máy tính, chúng rất khó bị phát hiện ra khi kẻ tấn công đã “pha trộn” các hoạt động độc hại với những hoạt động mạng thông thường, và chúng rất ít để lại dấu vết.

Microsoft và Cisco Talos cho biết các phần mềm độc hại này có khả năng biến PC thành proxy để thực hiện hoạt động độc hại. Hiện tại, Microsoft đặt tên cho dạng phần mềm này là Nodersok trong khi Cisco Talos gọi nó là Divergent.

Microsoft và Cisco Talos đã phát hành báo cáo mối đe dọa về phần mềm độc hại này vào thứ Tư, ngày 25 tháng 9 trong các bài đăng trên blog của hãng. Theo các nhà nghiên cứu của Microsoft, một khi Nodersok biến máy tính thành các proxy, kẻ tấn công sẽ sử dụng chúng như một “trung gian” để truy cập các mạng khác (trang web, máy chủ công ty, doanh nghiệp,…), điềucó thể cho phép chúng thực hiện các hoạt động độc hại lén lút mà rất khó bị phát hiện.

Mặc dù cả hai công ty đều có ý kiến ​​khác nhau về chính xác những gì phần mềm độc hại này ảnh hưởng, các nhà nghiên cứu của Cisco Talos nói rằng “Phần mềm độc hại này có thể được kẻ tấn công sử dụng để nhắm mục tiêu vào các mạng công ty và hiện tại chúng được thiết kế chủ yếu để thực hiện hành vi gian lận nhấp chuột.”

Microsoft tuyên bố hãng đã cập nhật để Windows Defender có thể xác định và chặn Nodersok, tuy nhiên việc phát hiện phần mềm độc hại này có thể hơi khó khăn vì nó tận dụng hầu hết những “hoạt động hợp pháp” trên máy nạn nhân.

Theo The Hacker News

Hãy tưởng tượng một ứng dụng tạo file GIF đơn giản dành cho Android có sẵn trên Google Play, tự động tính phí người dùng là 214,99EUR (​​253USD) để tiếp tục sử dụng ứng dụng này sau thời gian dùng thử ba ngày. Hoặc một ứng dụng đọc mã QR hoàn toàn chẳng có chức năng gì đáng kể “được” nhà phát triển tính phí 104,99EUR để tiếp tục sử dụng 72 giờ sau khi được tải xuống. Đây chính là các fleeceware.

Các nhà nghiên cứu tại SophosLabs đã phát hiện ra ít nhất 15 ứng dụng đã được tải xuống hàng triệu lần với các mức thu phí khủng khiếp kể trên. Nghiêm trọng hơn, bằng cách khai thác lỗ hổng trong chế độ cấp phép cửa hàng Play, hành vi này dường như là hợp pháp.

Hành vi “lừa đảo hợp pháp” này khai thác hành vi sử dụng ứng dụng cho phép người dùng tải xuống ứng dụng theo thời hạn giấy phép dùng thử, trong trường hợp này, kết thúc sau vài ngày. Rõ ràng hành vi này là hợp pháp, người dùng tự tìm ứng dụng và tải về, ứng dụng cũng cung cấp tính năng như giới thiệu (ví dụ: đọc QR-code). Điều quan trọng, các ứng dụng yêu cầu người dùng nhập thông tin thanh toán của họ trong thời gian dùng thử (dĩ nhiên chưa bị trừ tiền), điều mà hầu hết người dùng có thể cho rằng sẽ không ảnh hưởng nếu họ gỡ cài đặt ứng dụng.

Và có thể người dùng không tưởng tượng được một mức tính phí rất lớn mà các ứng dụng fleeceware này lạm dụng nên họ mất một số tiền khá lớn. Các nhà nghiên cứu của SophosLabs đã phát hiện ra ba ứng dụng tính phí 219,99EUR cho quyền truy cập đầy đủ tính năng ứng dụng, năm ứng dụng khác tính phí 104,99EUR và một ứng dụng tính phí 114,99EUR. Và bất ngờ chưa, một trong những ứng dụng ‘phần mềm’ này có hơn 10 triệu lượt tải xuống, hai ứng dụng có 5 triệu, phần còn lại từ 5.000 đến 50.000 lượt tải.

Bạn đừng nghĩ là dễ dàng để lấy lại tiền bạn đã thanh toán bằng cách sử dụng các tính năng moneyback vì rõ ràng “hành vi” của ứng dụng là hợp pháp. Lỗi là ở bạn!

Nhà phân tích phần mềm độc hại SophosLabs, Jagadeesh Chandraiah, cho biết: “Chúng tôi chưa từng thấy các ứng dụng được bán ở mức giá này trước đây”. Rõ ràng đây là hành vi lừa đảo. Nhưng Google dường như không nhận thấy vấn đề gì cho đến khi các nhà nghiên cứu báo cáo danh sách các ứng dụng này như trường hợp 25 ứng dụng “mã độc” được báo cáo gần đây.

Vì bản thân các ứng dụng không tham gia vào bất kỳ “hoạt động độc hại” truyền thống nào, nên về cơ bản chúng vẫn tuân theo các quy tắc của Google và hãng không dễ dàng loại bỏ chúng khỏi Play Market.

Dù gì đi nữa, vấn đề lớn vẫn nằm ở bạn. Hãy luôn cẩn thận với những hành vi này. Và bạn lưu ý là nghiên cứu này dành cho Android, nhưng iOS cũng có những vẫn đề tương tự.

Theo Sophos

Đó là báo cáo gần đây của công ty an ninh mạng Symantec đưa ra. Tổng cộng, công ty đã phát hiện ra 25 ứng dụng độc hại trong Play Store, được tải xuống hơn 2 triệu lần. Symantec đã báo cáo các ứng dụng độc hại cho Google vào ngày 2 tháng 9 và tất cả các ứng dụng đã bị xóa. Tuy nhiên cần nhắc lại rằng, các ứng dụng này có thể vẫn còn trên điện thoại của bạn. Nếu vậy, bạn nên xóa chúng càng sớm càng tốt.

Symantec cho biết 25 ứng dụng này có cấu trúc mã tương tự, có thể là do một nhóm phát triển tung ra. Phần lớn các ứng dụng được đề cập là các ứng dụng chỉnh sửa ảnh hoặc ứng dụng thời trang. Đây là danh sách 25 ứng dụng, bạn kiểm tra lại trên thiết bị mình nhé:

• Auto Blur Photo
• Auto Cut Out (Free)
• Auto Cut Out Pro
• Background Cut Out Pro
• Blur Image Plus
• Blur Image Plus (1.0)
• Blur Image Pro
• Cut Paste Photo Editor
• Cut Paste Photo Editor (X 1.0)
• Face Feature
• Fashion Hairstyles Pic Editor
• Fashion Hairstyles Pic Editor 2.4.6
• Image Blur Editor
• Image Blur Editor (Free)
• Image Blur Editor (Unlimited)
• Hairstyles Photo Editor Plus
• Latest Hairstyles (Free)
• Motion On Picture
• Photo Background Editor Pro
• Photo Blur Background Maker 2019
• Photo Collage Maker
• Photo Cut Studio Professional
• Pop Color
• SkyCamera for 2019
• Yasuo wallpapers

Symantec cho biết các phần mềm độc hại này chủ yếu nhắm mục tiêu hiển thị quảng cáo trên thiết bị người dùng để kiếm tiền. Đây là lần thứ ba trong một tháng, các ứng dụng chứa “mã độc” được phát hiện trong các ứng dụng Android trên cửa hàng chính thức của Google. Hồi đầu tháng, 24 ứng dụng Android bị nhiễm “mã độc” đã bị phát hiện. Các phần mềm này được thiết kế để đăng ký một cách lén lút người dùng cho các dịch vụ thuê bao, những dịch vụ mà họ có thể bị tính phí trong suốt vài tháng trước khi họ nhận ra rằng họ bị trừ tiền vô lý. Danh sách ứng dụng này bao gồm:

• Advocate Wallpaper
• Age Face
• Altar Message
• Antivirus Security – Security Scan
• Beach Camera
• Board picture editing
• Certain Wallpaper
• Climate SMS
• Collate Face Scanner
• Cute Camera
• Dazzle Wallpaper
• Declare Message
• Display Camera
• Great VPN
• Humour Camera
• Ignite Clean
• Leaf Face Scanner
• Mini Camera
• Print Plant scan
• Rapid Face Scanner
• Reward Clean
• Ruddy SMS
• Soby Camera
• Spark Wallpaper

Trong khi đó hồi tháng 8, một ứng dụng quét phổ biến có tên CamScanner đã được phát hiện có phần mềm độc hại có khả năng tự thực thi và tải xuống các tập tin không mong muốn.

Một ứng dụng trong danh sách với hơn 500.000 lượt cài đặt

Cụ thể, 25 ứng dụng đã được tìm thấy trên Cửa hàng Play (Play Store) vào cuối tháng 8 và ngay sau khi được cài đặt, chúng không thể hiện bất kỳ hành vi nguy hiểm nào, các ứng dụng này sau đó sẽ tự động tải xuống các tệp cấu hình phần mềm độc hại và từ đó chúng mới trở nên… “ác”.

File cấu hình mã độc được tải về từ xa, trong đó có cơ chế ẩn ứng dụng

Những mã tự tải này sẽ cho các thành phần phần mềm độc hại đi kèm kích hoạt các mô-đun được thiết kế để ẩn biểu tượng của ứng dụng và bắt đầu hiển thị quảng cáo cho phép các nhà phát triển ứng dụng đó kiếm tiền bằng cách sử dụng các thiết bị Android bị nhiễm xem hay thậm chí click vào quảng cáo.

Tất cả 25 ứng dụng này được “ngụy trang” là dưới dạng tiện ích chủ đề thời trang và xử lý hình ảnh. Tất cả đã bị xóa sau khi được báo cáo với Google vào ngày 2 tháng 9 vừa qua.

Theo9 nhóm Threat Intelligence của Symantec, các ứng dụng này đã qua mặt được cơ chế bảo mật Google Play Protect là do chúng không chứa “mã độc” sẵn mà một cơ chế tải về sẽ được kích hoạt sau khi cài đặt. Đây rõ ràng là một lỗ hổng của cơ chế này.

Danh sách các ứng dụng độc hại liên quan và sốt lượt tải (cột cuối)

“25 ứng dụng ẩn độc hại này có chung cấu trúc mã và nội dung ứng dụng, khiến chúng tôi tin rằng các nhà phát triển có thể là một phần của cùng một nhóm tổ chức hoặc, ít nhất, đang sử dụng cùng một mã nguồn.”

Các ứng dụng này có thể xóa biểu tượng của chính mình và sau đó bắt đầu hiển thị quảng cáo trên các thiết bị bị xâm nhập, ngay cả khi các ứng dụng đã bị xoá. “Quảng cáo toàn màn hình được hiển thị theo các khoảng thời gian ngẫu nhiên và không có tiêu đề ứng dụng trong cửa sổ quảng cáo, vì vậy người dùng không biết ứng dụng nào là thủ phạm”, báo cáo của Symantec cho biết.

Dù danh sách ứng dụng này đã được báo cáo cho Google và bị gỡ khỏi Google Play Store nhưng không rõ còn ứng dụng nào không. Và Google cũng chưa cho biết giải pháp nào để chặn hành vi này.

Theo bleepingcomputer

Được phát hiện bởi công ty bảo mật di động Wandera, hai ứng dụng độc hại này có tên là: Sun Pro Beauty Camera (hơn 1 triệu lượt cài đặt) và Funny Sweet Beauty Camera ( hơn 500,000 lượt tải về và cài đặt). Nếu bạn đã cài đặt một trong hai ứng dụng này trên điện thoại Android của mình thì hãy gỡ đi nhé. Lưu ý là bạn cần vào phần Cài đặt > Ứng dụng để kiểm tra vì hai ứng dụng này đã khôn khéo ẩn đi biểu tượng sau khi bạn cài đặt chúng.

Nghiêm trọng hơn, với các thiết bị sau khi đã gỡ cài đặt nhưng vẫn hiển thị quảng cáo. Bạn cần phải reset lại máy để đảm bảo máy không còn chứa “mã độc”. Đáng lo ngại là Sun Pro Beauty Camera và Funny Sweet Beauty Selfie Camera còn yêu cầu quyền truy cập micro và thu âm, kéo theo nhiều nguy cơ bảo mật khác, như lộ thông tin cá nhân.

Được biết, Wandera đã phát hiện những sai phạm này và báo cáo lên Google vào ngày 11 tháng 9 vừa qua. Mới đây, cả hai ứng dụng kể trên đã bị xóa khỏi Google Play Store.

Nguồn: PhoneArena

Đây là chiến dịch tấn công có chủ đích của hacker nước ngoài nhằm vào các server Public của Việt Nam. Theo Bkav, các địa chỉ phát động tấn công của hacker xuất phát từ Nga, châu Âu và châu Mỹ.

Cách thức tấn công của hacker là rà quét các server cài hệ điều hành Windows của các cơ quan, tổ chức tại Việt Nam, dò mật khẩu của những server này bằng cách sử dụng từ điển để thử từng mật khẩu (brute force). Nếu dò thành công, hacker sẽ thực hiện đăng nhập từ xa qua dịch vụ remote desktop, cài mã độc mã hóa tống tiền lên máy của nạn nhân.

Các dữ liệu sẽ bị mã hóa bao gồm các file văn bản, file tài liệu, file cơ sở dữ liệu, file thực thi… Nạn nhân muốn lấy lại dữ liệu phải trả tiền chuộc cho hacker. Hacker không công bố số tiền nạn nhân phải trả như các mã độc mã hóa tống tiền thông thường, mà yêu cầu nạn nhân phải liên lạc qua email để trao đổi, thỏa thuận cụ thể. Theo ghi nhận của Bkav thì mỗi máy chủ bị mã hóa dữ liệu, hacker đang để lại một email khác nhau để liên hệ.

Hiện Bkav đã cập nhật mẫu nhận diện mã độc mã hóa dữ liệu W32.WeakPass vào các phiên bản phần mềm diệt virus Bkav, bao gồm cả bản miễn phí. Bkav khuyến cáo, các quản trị viên cần rà soát ngay toàn bộ các máy chủ đang quản lý, đặc biệt là các máy chủ thuộc dạng public ra ngoài Internet, đặt mật khẩu mạnh cho máy chủ, đồng thời tắt dịch vụ remote desktop cho máy chủ nếu không thực sự cần thiết.

Tuy nhiên, mối đe dọa lớn nhất của người dùng Internet đến từ mã độc mã hóa tống tiền, mã độc xóa dữ liệu, mã độc đào tiền ảo và tấn công APT. Các loại mã độc này có thể kết hợp nhiều con đường lây nhiễm khác nhau để tăng tối đa khả năng phát tán, trong đó phổ biến nhất là khai thác lỗ hổng phần mềm, hệ điều hành và qua email giả mạo.

Tình trạng spam lừa đảo trên Facebook sẽ có nhiều biến tướng, không chỉ với hình thức comment dạo, kẻ xấu có thể sẽ sử dụng triệt để các hình thức khác như chat messenger, mời kết bạn hay tag vào các bài viết, xem chung… Hình thức tung tin đồn thất thiệt về tấn công mạng như vụ việc của Thế giới di động, FPT Shop… nhằm gây hoang mang, trục lợi có thể sẽ gia tăng. Người dùng mạng xã hội cần đề cao cảnh giác hơn nữa với những “chiêu bài” này của kẻ xấu.

Tổng kết năm 2018 của Bkav cho thấy, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã lên mức kỷ lục 14.900 tỷ đồng, tương đương 642 triệu USD, nhiều hơn 21% so với mức thiệt hại của năm 2017. Đây là kết quả được đưa ra từ chương trình đánh giá an ninh mạng do Tập đoàn công nghệ Bkav thực hiện tháng 12/2018.

Trên phạm vi toàn cầu, tội phạm mạng gây thiệt hại lên tới khoảng 600 tỷ USD mỗi năm, tương đương 0,8% GDP toàn cầu. Trong đó, khu vực Đông Á thiệt hại ước tính từ 120 – 200 tỷ USD, tương đương 0,53 – 0,89% GDP khu vực. Mức thiệt hại 642 triệu USD tương đương 0,26% GDP của Việt Nam tuy chưa phải cao so với khu vực và thế giới, nhưng cũng là kỷ lục đáng báo động.

Theo dự đoán từ Báo cáo của Cisco VNI, tính đến năm 2020, mỗi ngôi nhà sẽ có trung bình hơn 35 thiết bị được kết nối. Các thiết bị kết nối Internet với mục đích mang đến cho con người sự hiệu quả và thuận tiện hơn; chỉ cần trượt màn hình điện thoại thông minh, hệ thống chiếu sáng thông minh, điều hòa và khóa cửa đều nằm trong tầm kiểm soát của bạn.

Tuy nhiên, sự kết nối cũng mở ra cánh cửa cho các vị khách không mời – những cuộc tấn công mạng. Số lượng các cuộc tấn công tăng gấp đôi vào năm ngoái đã xác nhận mối đe dọa ngày càng tăng.

Có một vài lý do tại sao rất nhiều cuộc tấn công mạng lại nhằm vào những thiết bị IoT. Một mặt, một số thiết bị IoT dễ bị tấn công, không có đủ biện pháp bảo mật đi kèm hoặc các bản vá cập nhật và vì thế, đây chắc chắn trở thành mục tiêu hàng đầu của các cuộc tấn công.

Ví dụ, mã độc Mirai đã từng tấn công hàng chục nghìn IP cameras và bộ định tuyến WIFI. Mặt khác, những thói quen xấu của người dùng như không bao giờ đổi mật khẩu mặc định, cũng tạo điều kiện cho những kẻ tấn công xâm nhập vào hệ thống.

Bộ định tuyến (router) là một trong những thiết bị quan trọng nhất tại nhà nhưng nhiều người dùng máy tính không nhận ra tầm quan trọng của nó. Nó kết nối tất cả các thiết bị của người dùng với nhau với thế giới Internet và các cuộc tấn công mạng cũng không là ngoại lệ. Vậy phải làm sao để bảo vệ căn nhà thông minh khỏi những mối đe dọa trên mạng?

Sau đây là một số thao tác cơ bản mà bạn có thể làm để bảo vệ thiết bị của mình khỏi các cuộc tấn công:

– Đổi mật khẩu quản trị mặc định. Hầu hết các bộ định tuyến đều có mật khẩu quản trị mặc định, sau khi kết nối vào giao diện quản lý router ở lần đầu tiên thông qua trình duyệt, việc đầu tiên bạn cần làm là đổi mật khẩu quản trị mặc định.

– Sử dụng trình duyệt ẩn danh để truy cập vào giao diện quản lý router: Hãy mở trình duyệt của bạn ở chế độ ẩn danh/riêng tư (Ingocnito Mode hay Private Mode) khi làm việc với router để trình duyệt không lưu lại các cookie của phiên làm việc cũng như lưu tên đăng nhập và mật khẩu quản trị router.

– Đổi địa chỉ IP mạng LAN của router. Hầu hết các bộ định tuyến đều được gán địa chỉ 192.168.0.1, bạn hãy đổi nó thành 192.168.0.99 hoặc một địa chỉ khác dễ nhớ hơn và không thuộc dãy IP được cấp phát bởi DHCP.

– Đặt mật khẩu WiFi thật phức tạp và sử dụng giao thức bảo mật mạnh nhất có thể. WPA2 (Wi-Fi Protected Access II) là sự lựa chọn phù hợp nhất trong trường hợp này, vì các chuẩn cũ hơn như WPA và WEP thường dễ bị tấn công bằng phương thức brute-force.

– Vô hiệu hoá WPS (Wi-Fi Protected Setup). Đây là chức năng hiếm khi được sử dụng và được thiết kế để giúp người dùng cài đặt mạng dễ dàng hơn bằng cách sử dụng mã PIN được in trên thân thiết bị. Tuy nhiên, một lổ hổng nghiêm trọng đã được tìm thấy trên rất nhiều các thiết bị có trang bị WPS trong những năm gần đây cho phép hacker có thể dễ dàng xâm nhập hệ thống mạng của người dùng.

– Hạn chế số lượng dịch vụ được router sử dụng để kết nối Internet đến mức thấp nhất. Điều này đặc biệt đúng nếu bạn vẫn chưa tự mình kích hoạt những dịch vụ đó và không biết chúng là gì. Các dịch vụ như Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell), và HNAP (Home Network Administration Protocol) không nên được phép truy cập từ Internet vì chúng có thể để lộ các lổ hổng bảo mật nghiêm trọng.

– Sử dụng router với những bản vá cập nhật thường xuyên. Một số router cho phép bạn kiểm tra bản vá cập nhật trực tiếp từ giao diện quản lý web, việc kiểm tra thường xuyên các bản vá cập nhật mới cho router là rất cần thiết.

Ngoài ra, người dùng cũng nên cân nhắc việc bảo mật mạng WiFi bởi việc này có thể tránh tình trạng đánh cắp dữ liệu không dây. Để tăng cường bảo mật WiFi, WiFi Alliance đã cho ra mắt tiêu chuẩn bảo mật WPA3. Vì vậy, bộ định tuyến với chứng nhận đạt tiêu chuẩn bảo mật WPA3 mới nhất là lựa chọn tối ưu.

Theo chia sẻ của Avast thì 26 ứng dụng được nhắc đến đã bị Google xoá khỏi chợ ứng dụng Play Store, tuy nhiên không có gì đảm bảo là những ứng dụng còn lại là an toàn, có thể vẫn còn đến hàng ngàn ứng dụng có chứa mã độc nhằm ghi nhận hành vi người dùng hay đơn giản là hiện quảng cáo trên máy người dùng nhằm kiếm tiền online.

Phần lớn các ứng dụng này được xây dựng dựa trên nền tảng Cordova. Đây là một framework phát triển ứng dụng di động nổi tiếng (trước đây có tên là PhoneGap). Điểm mạnh của Cordova là một nền tảng để xây dựng những ứng dụng di động (hybrid mobile applications) sử dụng HTML, CSS và Javascript. Những ứng dụng này có thể chạy trên nhiều nền tảng khác nhau như Android, iOS, Windows Phone… dựa trên các API để giao tiếp với thiết bị. Chính vì vậy các đối tượng lừa đảo có thể tận dụng nền tảng này để phát triển các ứng dụng nền web thực hiện được một số tác vụ cơ bản, chẳng hạn như tra cứu giá tiền điện tử, chuyển đổi tiền tệ, thời tiết,… Theo ước tính đã có hàng ngàn lượt tải xuống từ các ứng dụng chứa mã độc quảng cáo này và đối tượng đăng ký với nhiều tên nhà phát triển khác nhau nhằm tránh bị “quét” đồng loạt.

Nhằm mục đích “nằm vùng” khá lâu trong máy người dùng, các ứng dụng chứa “mã độc” này sau khi được tải về và chạy lần đầu tiên, ứng dụng sẽ tự xóa biểu tượng ứng dụng ngoài màn hình chính, điều này là người dùng thông thường càng khó có thể tìm xoá và các ứng dụng dạng này.

Sau khi được khởi chạy lần đầu như vậy, các ứng dụng này sẽ bắt đầu kích hoạt các API nhằm hiển thị quảng cáo, thậm chí có thể hiển thị trên màn hình khoá. Nguye hiểm hơn, các ứng dụng này còn thu thập thông tin trên máy người dùng như unique identifier, tên app package, phiên bản Android đang dùng,… Tất cả các thông tin sẽ được tự động gửi đến một máy chủ từ xa, và trong một số trường hợp thì một số ứng dụng còn có khả năng kết nối tới một máy chủ khác và cài thêm một số ứng dụng bổ sung. Nhiều ứng dụng bị phát hiện có chứa mã độc và bị chấm điểm đánh giá vô cùng thấp. Tuy nhiên các ứng dụng này cũng có một lượng được đánh giá 5 sao, mà theo Avast đó là các lượt đánh giá giả mạo.

Mặc dù Google đã loạt bỏ các ứng dụng mà Avast thông báo nhưng bạn hãy luôn cẩn thận khi cài các ứng dụng lạ trên chợ ứng dụng này kẻo trở thành đối tượng để kẻ gian trục lợi.

Tham khảo Softpedia

Mã độc này do Trustlook phát hiện, có khả năng thay đổi file “/system/etc/install-recovery.sh” nhằm tự thực thi mỗi khi thiết bị khởi động. Do vậy mà nó có thể rút trích các dữ liệu tin nhắn từ các ứng dụng trên điện thoại Android, ngay cả khi thiết bị khởi động lại.

Ứng dụng đầu tiên bị lây nhiễm có tên là Cloud Module và nó được phát tán ở Trung Quốc với tên package com.android.boxa. Tuy nhiên nó chưa có mặt trên Google Play Store, và khả năng cao là mã độc này được thiết kế để nhắm đến những thiết bị sử dụng cài đặt không thông qua store, chẳng hạn như thư điện tử hay việc tải về từ các trang web của bên thứ ba, chẳng hạn như các trang chuyên cung cấp app không bản quyền.

Theo ghi nhận của Trustlook thì mã độc này được thiết kế để hoạt động bí ẩn với nhiều kỹ thuật nhằm tránh bị phát hiện và gây thách thức không nhỏ cho các phần mềm diệt virus trong việc phát hiện ra nó. Một khi mã độc này kiểm soát được thiết bị Android, nó sẽ tự động tìm các cuộc hội thoại từ những ứng dụng nói trên. Dữ liệu sau đó sẽ được trích xuất và gởi đến một remote server. Thậm chí nó còn được cấu hình để có thể tiến hành hoạt động “trojan” mà không cần sự điều khiển từ tác giả của nó.

Hiện tại, cách tốt nhất để không dính phải mã độc này là không tải app từ các nguồn không đáng tin cậy, chỉ nên tải từ Play Store (CH Play). Đây là một dạng mã độc mới khá nguy hiểm khi bạn có thể vô tình tải nó về và để nó kiểm soát thiết bị Android và “ăn cắp” tin nhắn từ các ứng dụng OTT.

Danh sách các ứng dụng nhắn tin nằm trong “tầm ngắm” của mã độc này gồm:
Tencent WeChat
Weibo
Voxer Walkie Talkie Messenger
Telegram Messenger
Gruveo Magic Call
Twitter
Line
Coco
BeeTalk
TalkBox Voice Messenger
Viber
Momo
Facebook Messenger
Skype

Theo Softpedia

Cách thức tấn công của hacker khá tinh vi, đầu tiên hacker đưa các ứng dụng “sạch”, phổ biến như lịch vạn niên, đèn pin, la bàn… lên Google Play để người sử dụng cài. Ứng dụng này sẽ tự động tải tiếp về một ứng dụng độc hại khác.

Để lừa nạn nhân, ứng dụng “sạch” sẽ hiện các cảnh báo an ninh như điện thoại bị nhiễm mã độc hay điện thoại bị chậm… kèm theo hướng dẫn xử lý. Đây thực chất là những cảnh báo giả mạo, làm theo thì điện thoại sẽ nhiễm virus. Virus sẽ chiếm quyền điều khiển điện thoại và ăn cắp mật khẩu tài khoản Facebook của người dùng.

Ông Vũ Ngọc Sơn, Phó chủ tịch phụ trách mảng Chống mã độc (Anti Malware) của Bkav cho biết: “Việc hacker sử dụng một ứng dụng sạch trên Google Play làm công cụ lây nhiễm mã độc sẽ khiến người dùng rất khó đề phòng. Trong trường hợp này chỉ có cách sử dụng phần mềm diệt virus để được bảo vệ tự động”.

Hiện Google Play đã gỡ bỏ các ứng dụng Việt này nên số máy bị nhiễm virus GhostTeam không còn tăng mạnh. Tuy nhiên, với những điện thoại đã từng cài ứng dụng trước đó thì vẫn có nguy cơ mất mật khẩu Facebook.