Giới chuyên gia an ninh mạng vừa phát đi cảnh báo đỏ về một chiến dịch tấn công mới mang tên DroidLock. Loại mã độc này không chỉ đánh cắp dữ liệu mà còn "bắt cóc" thiết bị Android của nạn nhân theo đúng nghĩa đen, buộc người dùng phải trả tiền chuộc nếu muốn lấy lại quyền truy cập.

Dù hiện tại các cuộc tấn công chủ yếu được ghi nhận trong cộng đồng người dùng nói tiếng Tây Ban Nha, nhưng các nhà nghiên cứu khẳng định sự lây lan sang các khu vực khác là điều khó tránh khỏi do phương thức phát tán cực kỳ tinh vi.

Mã độc DroidLock khóa cứng điện thoại Android để tống tiền.

DroidLock xâm nhập thiết bị thông qua các trang web lừa đảo (phishing), dụ dỗ người dùng tải xuống các ứng dụng giả danh các thương hiệu uy tín (như nhà mạng viễn thông). Thực chất, đây là các "dropper" – phần mềm mồi nhử để cài đặt mã độc.

Điểm chí mạng của cuộc tấn công nằm ở Accessibility Services (Dịch vụ Trợ năng). Sau khi lừa nạn nhân cấp quyền này, DroidLock sẽ hiện nguyên hình. Nó tự động thao tác trên màn hình để phê duyệt hàng loạt quyền hạn nhạy cảm khác như truy cập SMS, danh bạ, nhật ký cuộc gọi và ghi âm... mà không cần người dùng chạm tay vào.

Sự nguy hiểm của DroidLock nằm ở khả năng sử dụng giao thức VNC (Virtual Network Computing). Điều này cho phép hacker điều khiển điện thoại của nạn nhân từ xa theo thời gian thực như tự động bật camera/ghi âm để do thám, tắt tiếng thiết bị, xóa ứng dụng và hiển thị màn hình "Cập nhật hệ thống" giả mạo để ngăn người dùng tắt máy.

Đặc biệt, mã độc này sử dụng các lớp phủ màn hình (overlay) để ghi lại thao tác vẽ mẫu hình khóa máy hoặc nhập mật khẩu. Nguy hiểm hơn, chúng có thể tự động đổi mã PIN, chính thức nhốt người dùng ở bên ngoài thiết bị của chính mình.

Khác với ransomware truyền thống thường mã hóa file, DroidLock chọn cách chặn truy cập và đe dọa xóa dữ liệu (Factory Reset). Màn hình tống tiền sẽ hiện ra với nội dung đầy áp lực: "Cơ hội cuối cùng. Thời gian đếm ngược bắt đầu từ 24 giờ. Sau đó, mọi dữ liệu sẽ bị xóa vĩnh viễn! Không cảnh sát, không công cụ khôi phục. Mỗi giây đều quý giá".

Màn hình tống tiền của DroidLock.

Trước mối đe dọa này, người dùng Android cần tuân thủ nghiêm ngặt các quy tắc an toàn số là nói không với các ứng dụng từ nguồn ngoài (sideloading), kiểm tra kỹ quyền hạn của ứng dụng (đặc biệt là quyền liên quan tới trợ năng), sử dụng các giải pháp bảo mật uy tín để quét và chặn mối đe dọa từ sớm và đảm bảo hệ điều hành và Google Play Services luôn ở phiên bản mới nhất.