Cảnh báo loại malware mới trên Android có khả năng tự tái tạo
Công ty Antivirus Doctor Web vừa phát hiện một loại bootkit mới đang lây lan trên hơn 350.000 thiết bị chạy Android tại Châu Âu, Bắc Mỹ và Châu Á. Đây là một chủng malware trên Android mang tên Android.Oldboot: Một trojan đầu tiên có khả năng tự cài đặt lại sau mỗi lần hệ điều hành khởi động lại.
Theo Doctor Web, Trung Quốc là nơi lây lan nhiều nhất với hơn 322.000 thiết bị được phát hiện đã nhiễm Android.Oldboot. Android hiện đang là hệ điều hành di động phổ biến nhất thế giới. Đây cũng là nền tảng được nhiều kẻ xấu hướng tới để phát triển các phần mềm độc hại.
Các chương trình bootkit như Android.Oldboot sẽ tấn công vào Kernel của Android - phần sâu nhất của một hệ điều hành. Sau khi xâm nhập thành công vào kernel, malware sẽ viết lại chu trình boot của hệ điều hành và vô cùng khó để có thể loại bỏ triệt để nó ra khỏi hệ thống. Ngay cả khi loại bỏ malware theo cách thủ công hoặc thậm chí là wipe hoàn toàn thiết bị cũng không thể loại bỏ hoàn toàn do malware vẫn có thể tự tái tạo một bản sao khác ngay khi hệ điều hành khởi động lại.
Android.Oldboot hiện đang là một trong những malware nguy hiểm bậc nhất. Sau khi chiếm quyền điều khiển, chương trình sẽ kết nối thiết bị Android tới một máy chủ từ xa và bắt phải tải về, cài đặt hàng loạt phần mềm độc hại khác đồng thời tháo gỡ những phần thiết yếu bảo vệ hệ thống. Điều trên thật sự nguy hiểm khi Oldboot có thể dễ dàng truy xuất các thông tin tài chính của người dùng và gởi nó cho kẻ xấu.
Nếu bạn mua một điện thoại từ một nhà cung cấp đáng tin cậy và chỉ sử dụng hệ điều hành được tích hợp sắn, bạn có thể yên tâm phần nào về khả năng lây nhiễm. Android.Oldboot lây nhiễm thông qua những bản Android dựng lại, điều đó có nghĩa là bạn có khả năng nguy hiểm khi thiết bị đã bị "root" bằng cách flash firmware. Bạn chỉ nên thực hiện hành động root (nếu muốn) thông qua công cụ từ các trang đáng tin cậy.
Theo cảnh báo của Doctor Web, những người dùng sử dụng điện thoại có nguồn gốc từ Trung Quốc nên hết sức cẩn thận do phần lớn thiết bị lây nhiễm malware đều có nguồn gốc từ các hãng điện thoại đã qua sử dụng tại Trung Quốc. Hiện vẫn chưa xác định được là các hãng điện thoại cũ của Trung Quốc cố tình cài đặt malware vào thiết bị nhằm mục đích xấu hay đó chỉ là một lỗ hổng của hệ điều hành Android bị kẻ xấu khai thác.
Nếu tình huống xấu nhất là người dùng phát hiện ra thiết bị của mình đã bị nhiễm Oldboot, họ vẫn không có cách nào để loại bỏ nó ngay cả khi flash kernel hay cài lại firmware chính gốc. Ngay cả các ứng dụng diệt virus Android có thể xóa bỏ OldBoot, chúng vẫn tự tái tạo lại sau khi hệ thống reboot.
Hiện tại, các chuyên gia bảo mật đã vào cuộc để tìm phương pháp xác định cơ chế tồn tại của Android.Oldboot nhằm tìm cách loại bỏ nó. Cách tốt nhất là chọn mua thiết bị đáng tin cậy và suy nghĩ kỹ trước khi root là cách tốt nhất để bảo vệ người dùng trong lúc này.