Hơn một triệu thiết bị Android đã bị tấn công bởi một phần mềm độc hại có tên Gooligan, gây mất an ninh dữ liệu trong tài khoản Google trên các thiết bị, cho phép tin tặc truy cập Gmail, Google Photos, Google Docs , Google Play, Google Drive và các ứng dụng liên quan khác của Google. Theo các chuyên gia của hãng bảo mật Check Point Software Technologies của Israel, phần mềm độc hại này đã được tìm thấy trong 86 ứng dụng trên thị trường và đều thuộc các hãng thứ ba.

Ai có thể bị nhiễm?

Tất cả thiết bị chạy Android 4 (gồm các phiên bản Ice Cream Sandwich , Jellybean và KitKat) và Android 5 (Lollipop ), chiếm 74% tổng số người dùng Android, đều có khả năng bị tấn công bởi Gooligan.

Theo thống kê, hiện có đến 57% số thiết bị bị nhiễm nằm ở châu Á, trong khi tỉ lệ này ở châu Mỹ, châu Phi và châu Âu lần lượt là 19%, 15% và 9% .

Gooligan lây nhiễm và ảnh hưởng như thế nào?

Khi người dùng tải về bất kỳ ứng dụng nào bị nhiễm Gooligan, phần mềm độc hại ngay lập tức sẽ "root" hay chiếm quyền quản lý thiết bị (có thể thay đổi hệ thống như quyền của nhà sản xuất). Một khi đã có được quyền này, Gooligan tải một mô-đun từ máy chủ C&C và cài đặt lên thiết bị, mô-đun này sẽ tiếp tục chèn một đoạn mã vào Google Play hoặc GMS (dịch vụ di động của Google) đang chạy, để bắt chước hành vi của người dùng nhằm tránh bị phát hiện.

Các mô-đun này sau đó giúp Gooligan thực hiện các việc như: Ăn cắp thông tin tài khoản Gmail của người dùng bao gồm cả thông tin xác thực, cài đặt các ứng dụng từ Google Play và xếp hạng ứng dụng để nâng cao danh tiếng và cài đặt phần mềm quảng cáo.

Check Point Software Technologies đã xác định nhiều trường hợp lây nhiễm bằng dữ liệu tham khảo chéo, thông qua việc xem xét người dùng tham gia đánh giá ứng dụng (xếp hạng) trên Google Play từ các thiết bị bị nhiễm. Đây là một lời nhắc nhở về lý do tại sao người dùng không nên dựa vào bảng xếp hạng để tin tưởng vào một ứng dụng.

Nguy hiểm hơn, phần mềm độc hại này cũng có thể làm giả thông tin nhận dạng thiết bị, như làm giả số IMEI hoặc IMSI, để tải về một ứng dụng hai lần, giống như quá trình cài đặt diễn ra trên hai thiết bị khác nhau, do đó họ tăng gấp đôi doanh thu.

Kiểm tra tài khoản Google của bạn

Nếu bạn đã tải các ứng dụng từ bên ngoài (không từ Play Store của Google), bạn có thể truy cập vào trang https://goo.gl/rVzIND để kiểm tra. Kế tiếp, bạn chỉ cần nhập địa chỉ Gmail sử dụng trên thiết bị Android của bạn, nó sẽ ngay lập tức cung cấp cho bạn thông tin phản hồi. Nếu tài khoản bị xâm nhập, bạn sẽ thấy các yêu cầu với nội dung như sau:

1. Cần cài đặt một hệ điều hành sạch trên thiết bị di động của bạn. Vì đây là một quá trình phức tạp, chúng tôi khuyên bạn nên tắt điện thoại và cần một kỹ thuật viên hoặc nhà cung cấp dịch vụ di động của bạn giải quyết vấn đề.

2. Thay đổi mật khẩu tài khoản Google của bạn ngay sau khi thực hiện quá trình này.

Ngoài ra, nếu bạn muốn biết các ứng dụng bạn đang sử dụng có nằm trong danh sách bị nhiễm Gooligan hay không, hãy so chúng với danh sách 86 ứng dụng được liệt kê tại đây (https://goo.gl/HLp5ha) và xóa chúng càng sớm càng tốt để tránh bị thiệt hại nặng nề thêm.

Các chuyên gia cũng khuyến cáo, hiện nay, nhiều ứng dụng Android được cung cấp ở các cửa hàng thuộc thị trường thứ ba, chúng rất hấp dẫn người dùng, vì đa số miễn phí, hoặc cung cấp phiên bản miễn phí của các ứng dụng trả tiền. Tuy nhiên, người dùng cần thận trọng khi tải các ứng dụng từ những cửa hàng này, vì chúng không được xác nhận bởi Google.

Hoàng Thy (Theo Guiding Tech, Check Point)