Người dùng Android hãy cẩn thận! Ứng dụng bảo mật này thực chất là phần mềm độc hại

Các nhà nghiên cứu bảo mật đã phát hiện một loại malware Android mới cho phép kẻ tấn công theo dõi gần như mọi thao tác trên điện thoại thông minh. Điều này bao gồm mã PIN, thông tin đăng nhập, nội dung trong ứng dụng nhắn tin và ngân hàng.

Điều khiến nó đặc biệt nguy hiểm là malware này sử dụng Hugging Face — một nền tảng phát triển có uy tín — để phát tán một cách kín đáo.

Malware giả dạng ứng dụng bảo mật

Chiến dịch malware này được phát hiện bởi các nhà nghiên cứu tại Bitdefender. Trung tâm của chiến dịch là một ứng dụng Android có tên “TrustBastion”, giả dạng như một giải pháp bảo mật.

Nạn nhân sẽ thấy quảng cáo hoặc cửa sổ bật lên thông báo rằng điện thoại của họ bị nhiễm virus. Để loại bỏ các mối đe dọa bị cho là tồn tại — như phishing, tin nhắn lừa đảo hoặc malware khác — họ được yêu cầu cài đặt ứng dụng này.

Ban đầu ứng dụng trông hoàn toàn vô hại. Nhưng thực chất nó là một dropper, nghĩa là bản thân ứng dụng chưa chứa mã độc ngay từ đầu mà sẽ tải chúng về sau.

Bản cập nhật giả tải malware về máy

Ngay sau khi cài đặt, TrustBastion hiển thị một bản cập nhật “bắt buộc”. Cửa sổ này có giao diện giống hệt thông báo chính thức của Android hoặc Google Play. Khi người dùng đồng ý, một file APK đã bị chỉnh sửa sẽ được tải xuống trong nền.

Việc tải APK không diễn ra từ máy chủ ngầm, mà từ Hugging Face. Đây là nền tảng được cộng đồng AI và lập trình sử dụng rộng rãi và có danh tiếng tốt — chính điều này bị kẻ tấn công lợi dụng, vì nhiều giải pháp bảo mật không coi kết nối tới Hugging Face là đáng ngờ.

Lạm dụng quyền Trợ năng để kiểm soát thiết bị

Sau khi cài đặt xong phần độc hại, ứng dụng yêu cầu quyền truy cập rất sâu vào hệ thống. Nó giả làm thành phần hệ thống có tên “Phone Security” và yêu cầu bật tính năng Accessibility (Trợ năng).

Đây là quyền cực kỳ nguy hiểm. Nó cho phép ứng dụng:

• đọc nội dung trên màn hình

• ghi lại thao tác nhập

• hiển thị lớp phủ lên ứng dụng khác

Điều đó có nghĩa là malware có thể ghi lại mọi mã PIN, mẫu mở khóa, đồng thời chèn màn hình đăng nhập giả lên trên ứng dụng thật.

Nhờ đó, dữ liệu từ dịch vụ thanh toán, ứng dụng nhắn tin và các ứng dụng nhạy cảm khác bị đánh cắp và gửi về máy chủ điều khiển của kẻ tấn công. Từ đó, thiết bị nhiễm cũng có thể nhận lệnh hoặc bản cập nhật mới.

Biến thể liên tục để tránh bị phát hiện

Theo Bitdefender, kẻ tấn công sử dụng kỹ thuật polymorphism phía máy chủ để né tránh phát hiện — tức là tạo phiên bản malware mới khoảng mỗi 15 phút. Mỗi file APK có thay đổi nhỏ nhưng vẫn giữ nguyên chức năng.

Chỉ trong một tháng, các nhà nghiên cứu đã ghi nhận hơn 6.000 biến thể khác nhau. Mục tiêu là vượt qua các trình quét virus dựa trên chữ ký. Chiến dịch này cũng liên tục thay đổi tên và biểu tượng ứng dụng sau khi từng phiên bản bị gỡ bỏ.

Bạn nên làm gì ngay bây giờ?

Người dùng Android nên:

• Chỉ cài ứng dụng từ Google Play Store

• Không cho phép cài ứng dụng từ nguồn ngoài

• Cẩn trọng với các ứng dụng tự nhận là phần mềm bảo mật nhưng yêu cầu nhiều quyền hệ thống

• Bật Google Play Protect

Ngoài ra, ngay cả khi tải từ nền tảng nổi tiếng, bạn vẫn cần cảnh giác — hạ tầng uy tín không đảm bảo file tải xuống là an toàn.

Chỉ bật quyền Trợ năng khi bạn hiểu rõ ứng dụng yêu cầu quyền đó để làm gì.

Nếu đã cài ứng dụng đáng ngờ:

• Gỡ bỏ ngay lập tức

• Quét malware cho thiết bị

• Trong trường hợp cần thiết, khôi phục cài đặt gốc