Công ty bảo mật Promon mới đây đã phát hiện ra một lỗ hổng mới có tên là Strandhogg, tồn tại trong tính năng đa nhiệm (multi-tasking) của Android. Hacker có thể lợi dụng lỗ hổng này để tạo ra mã độc ngụy trang thành bất kỳ ứng dụng nào khác trên thiết bị đó, kể cả ứng dụng hệ thống để chiếm thông tin tài khoản ngân hàng của người dùng và theo dõi hành vi của họ.
Cụ thể, malware khai thác lỗ hổng Strandhogg sẽ ẩn núp dưới dạng một ứng dụng hợp pháp. Khi người dùng kích vào icon, mã độc sẽ can thiệp và hiển thị một giao diện giả mạo của phần mềm thật. Điều này khiến người dùng sẽ tưởng mình đang sử dụng ứng dụng thật, giúp ứng dụng độc hại dễ dàng ăn cắp thông tin nhạy cảm của người dùng, nghe lén qua micro, chụp lén từ xa, ghi âm cuộc gọi… sau đó gửi chúng cho kẻ tấn công thông qua máy chủ từ xa.
Các nhà nghiên cứu cho biết, lỗ hổng này cực kỳ nguy hiểm bởi nó cho phép kẻ tấn công mạo danh gần như tất cả mọi ứng dụng và người dùng gần như không thể nhận ra.
Trong video dưới đây, kẻ tấn công bằng cách thao túng một vài điều kiện chuyển trạng thái (task state transition conditions), đã đánh lừa hệ thống và khởi động một giao diện giả mạo. Khi nạn nhân nhập thông tin cá nhân vào, mã độc lập tức gửi những thông tin đó tới kẻ tấn công, giúp hắn có thể truy cập vào mọi tài khoản nhạy cảm của người dùng.
Các nhà nghiên cứu bảo mật đã phát hiện ra ít nhất 36 ứng dụng độc hại đang khai thác lỗ hổng Strandhogg. Một trong số đó là CamScanner, ứng dụng tạo file PDF, đã có hơn 100 triệu lượt tải. Tuy nhiên, các nhà nghiên cứu cho rằng, hiện có khoảng 500 ứng dụng phổ biến có nguy cơ bị mạo danh.
Hiện tại, các phần mềm độc hại đã được Google gỡ bỏ nhưng lỗ hổng Strandhogg vẫn chưa được vá.
Theo khuyến cáo của Promon, trong khi chờ đợi bản vá người dùng phải tự bảo vệ mình bằng cách để ý một số chi tiết nhỏ như thông báo pop-up đòi quyền truy cập nhưng không hiển thị tên ứng dụng, những ứng dụng đã đăng nhập rồi nhưng vẫn yêu cầu đăng nhập lại, các phím ảo (gồm phím back) và liên kết (link) khi nhấp vào không hoạt động…
