Các nhà nghiên cứu của công ty Symantec vừa phát hiện một biến thể virus xHelper mới rất nguy hiểm có khả năng tự cài đặt lại sau khi bị người dùng gỡ bỏ và thậm chí là khôi phục lại cài đặt gốc. Nó đã lây nhiễm hơn 45.000 thiết bị Android trong 6 tháng qua.

Đây là dòng ứng dụng độc hại được sử dụng để cài cắm nhằm lây nhiễm các ứng dụng độc hại khác nguy hiểm hơn vào các thiết bị đã bị lây nhiễm như trojan ngân hàng, trojan gian lận nhấp chuột, và mã độc tống tiền. Các nhà nghiên cứu của Symantec nghi ngờ xHelper được tải về bởi một ứng dụng hệ thống độc hại có thể đã được cài đặt sẵn trên một số nhãn hiệu điện thoại thông minh Android.

Số thiết bị bị lây nhiễm virus xHelper đang tăng lên từng ngày. Chỉ tính riêng tháng 9, đã có khoảng 131 thiết bị bị lây nhiễm/ ngày, và khoảng 2.400 thiết bị bị lây nhiễm/ tháng.

Sau khi lây nhiễm thành công một thiết bị, virus xHelper sẽ bắt đầu hiển thị các quảng cáo nổi ngẫu nhiên và tải về các ứng dụng độc hại khác. Ứng dụng lây nhiễm mã độc cho thiết bị Android đã bị giấu đi nên người dùng không thể tìm thấy và mở nó, nhưng nó sẽ tự chạy khi thiết bị được gắn vào hay ngắt khỏi nguồn điện, khởi động lại, cài đặt hay gỡ bỏ một ứng dụng. 

Sau khi đã chạy trên thiết bị bị lây nhiễm, mã độc sẽ đăng ký như một dịch vụ phía trước để tránh bị hệ thống tự động chặn, và nó cũng sẽ khởi động lại dịch vụ nếu có bị chặn hay bị dừng.

Sau đó, nó sẽ kết nối với máy chủ ra lệnh và điều khiển để tải về thêm các ứng dụng độc hại khác. Máy chủ ra lệnh và điều khiển này chứa rất nhiều ứng dụng độc hại rất đa dạng tính năng nên để phục vụ nhiều yêu cầu của tin tặc, trong đó có ăn cắp dữ liệu hay thậm chí là chiếm toàn bộ quyền điều khiển thiết bị.

Symantec cũng cho biết đầu tiên họ phát hiện xHelper hồi tháng 3, khi đó mã của nó còn rất đơn giản. Tuy nhiên, các biến thể mới nhất mà họ phát hiện đã được cải tiến rất nhiều với khả năng chống phát hiện.

Biến thể xHelper ẩn nấp một phần.

Virus xHelper cũng bị công ty Malwarebytes theo dõi khi nó chậm rãi phát tán ra ngày càng nhiều thiết bị Android, cuối cùng là lây nhiễm hơn 32.000 máy tính bảng và điện thoại Android từ tháng 5 đến tháng 8.

Malwarebytes cũng ghi nhận xHelper có hai biến thể: một biến thể cho thấy một số dấu hiệu của nó, và một biến thể khác thực hiện các tác vụ nguy hiểm ở chế độ ẩn nấp hoàn toàn. Điều đó cho thấy, dòng virus này có thể sẽ còn tiếp tục được phát triển để ngày càng khó bị phát hiện hơn.

Cách phòng vệ

Để tránh là nạn nhân của virus “khó trị” này, các nhà nghiên cứu của Symantec khuyên người dùng nên:

- Đảm bảo thiết bị được cập nhật hệ điều hành mới nhất.

- Không tải ứng dụng từ các trang web lạ.

- Chỉ cài đặt ứng dụng từ những nguồn tin cậy.

- Xem xét kỹ các quyền truy cập mà ứng dụng yêu cầu.

- Thường xuyên sao lưu dự phòng dữ liệu quan trọng.

Trong khi đó, công ty an ninh mạng Malwarebytes Labs cũng kiến nghị người dùng nên cẩn trọng khi duyệt web, cẩn thận lựa chọn các trang web muốn mở trên thiết bị Android.

LÊ PHI (Theo Bleeping Computer)