Xuất hiện mã độc mới trên Android, có thể gây nguy hiểm cho router Wi-Fi và các thiết bị khác trong cùng mạng
Không trực tiếp tấn công thiết bị mà lại tìm đến phương thức tinh vi hơn, hãy cảnh giác cao độ để ngăn chặn hình thức nhiễm độc này.
Các chuyên gia an ninh mạng đã phát hiện ra một loại malware Android mới đang nhắm đến các thiết bị quen thuộc của bạn, nhưng lần này, thay vì trực tiếp lây nhiễm và tấn công, chúng sẽ nắm quyền kiểm soát router Wi-Fi và tác động đến dữ liệu truyền tải đến các trang web thông qua nó.
Với tên gọi "Switcher", malware này được tìm ra nhờ các nhà nghiên cứu tại Kaspersky Lab, có khả năng hack thâm nhập hệ thống router mạng không dây, sau đó đổi thiết lập địa chỉ DNS để định hướng người dùng kết nối để các website mã độc khác.
Khoảng hơn 1 tuần trước, đội ngũ từ Proofpoint cũng phát hiện ra các động thái tấn công tương tự trên PC - không tác động vào hệ thống phần cứng máy tính mà lại hướng đến router kết nối mạng.
Thủ đoạn "Brute Force"
Hacker hiện nay đang phát tán Switcher qua việc ẩn nó vào trong một ứng dụng Android liên quan đến trang tìm kiếm Baidu, và qua một ứng dụng Trung Quốc khác nữa dành cho tác vụ chia sẻ mạng Wi-Fi với nhau.
Một khi nạn nhân bị mắc bẫy, cài đặt những ứng dụng này, malware sẽ cố gắng xâm nhập vào router mà thiết bị đang kết nối ở thời điểm hiện tại bằng phương pháp "brute force" - gây sức ép liên tục với thao tác nhập mã người dùng và mật khẩu ngẫu nhiên theo giới hạn sẵn cho tới khi vượt qua được.
"Dựa trên những cấu trúc cơ sở dữ liệu và tài liệu HTML bị tấn công bởi Switcher, có vẻ như chỉ có giao diện web tương tác của router Wi-Fi TP-LINK mới nằm trong diện ảnh hưởng," chuyên gia Nikita Buckha tại Kaspersky Lab chia sẻ.
"Tiêm nhiễm" địa chỉ DNS
Một khi đã thâm nhập thành công vào quyền quản trị mạng, Switcher sẽ thay đổi DNS chính và phụ của server với địa chỉ khác dẫn đến một máy chủ chứa mã độc kiểm soát bởi những kẻ chủ mưu đằng sau. Do đó, mọi thao tác truy cập link đều được định hướng đến website nằm trong máy chủ độc hại kia.
"Malware này sẽ nhắm vào toàn bộ mạng lưới, khiến cho tất cả người dùng, cả cá nhân lẫn tập thể/doanh nghiệp, đều bị nhiễm độc và ảnh hưởng bởi các hành động lừa đảo khó lường khác. Đặc biệt, nếu diễn ra thành công, quá trình đó sẽ rất khó để bị phát hiện và sửa đổi kết cục, kể cả khi bạn khởi động lại router hay vô hiệu hóa DNS thì vẫn còn địa chỉ DNS thay thế có thể tiếp tục tác động."
Các chuyên gia cũng đã lần theo và truy cập vào được server điều hành của kẻ chủ mưu đằng sau, từ đó khám phá thêm rằng con số router trở thành nạn nhân đã lên đến 1300 trường hợp, phần lớn là ở Trung Quốc.
Nhìn chung, người dùng Android nên tin cậy vào Google Play Store là lựa chọn duy nhất mà thôi. Tất nhiên tải ứng dụng từ các nguồn bên thứ 3 không hẳn lúc nào cũng là mối nguy hiểm, nhưng nó tiềm ẩn nhiều nguy cơ cao. Vì vậy, cách tốt nhất là tránh xa nó ra để giữ an toàn tuyệt đối cho thiết bị và môi trường mạng của mình.
Bạn có thể vào Settings - Security và tắt lựa chọn "Unknown Sources" để phòng ngừa rủi ro. Ngoài ra, chủ nhân router cũng cần đổi tên người dùng và mật khẩu một cách cẩn thận để Switcher không có cơ hội xâm nhập.