Một loại malware Android mới có tên Agent Smith đã lây nhiễm 25 triệu điện thoại di động với mục đích chạy các quảng cáo độc hại. Nạn nhân bị dụ dỗ để tải các ứng dụng ảnh, ứng dụng liên quan đến khiêu dâm hoặc các trò chơi đã bị chèn mã độc từ các cửa hàng ứng dụng của bên thứ ba. Sau khi tải thì thiết bị của họ cũng đồng thời tải Agent Smith xuống.
Malware thường được ngụy trang dưới dạng tiện ích có tên như Google Updater, Google Update for U hoặc com.google.vending và ẩn biểu tượng của nó trên thiết bị của người dùng. Tiếp theo, malware sẽ kiểm tra và giả mạo ứng dụng có sẵn trên điện thoại và sau đó tiến hành cập nhật các bản vá lỗi APK chứa mô-đun quảng cáo độc hại. Để hoàn tất quá trình cài đặt cập nhật, nó sẽ khai thác lỗ hổng Janus, cho phép nó vượt qua kiểm tra APK của Android. Janus là một lỗ hổng Android có từ năm 2017.
“Trên thực tế, do nó khả năng ẩn biểu tượng và giả mạo bất kỳ ứng dụng hiện tại phổ biến hoạt động thiết bị nên nguy cơ gây hại cho thiết bị và người dùng của loại malware này là vô cùng tận” – Check Point cho biết trong báo cáo.
Check Point cho biết Agent Smith đang được phát tán từ các cửa hàng ứng dụng của bên thứ ba, chẳng hạn như 9App, chủ yếu dành cho người dùng Ấn Độ, Ả Rập và Indonesia. Số thiết bị nhiễm malware này lớn nhất là ở Ấn Độ (hơn 15 triệu), tiếp theo là Bangladesh (hơn 2,5 triệu), Pakistan (gần 1,7 triệu) và Indonesia đứng thứ tư với 570.000 thiết bị bị nhiễm. Tuy nhiên, cũng đã được tìm thấy trong các thiết bị ở Ả Rập Saudi (245K), Úc (141K), Vương quốc Anh (137K) và Hoa Kỳ (303K) bị dính malware này.
Các nhà nghiên cứu đã phân tích:
Chúng tôi đã khám phá rằng Agent Smith kết nối với một công ty internet Trung Quốc ở Quảng Châu, nơi họ hoạt động kinh doanh hợp pháp và giúp các nhà phát triển Android Trung Quốc xuất bản và quảng bá ứng dụng của họ trên các nền tảng ở nước ngoài.
Huỳnh Mai Anh Kiệt