Theo Securityweek, các nhà nghiên cứu bảo mật của Dr. Web đã phát hiện malware Triada cài sẵn trong thư viện hệ thống libandroid_runtime.so trên một số điện thoại giá rẻ như Leagoo M5 Plus, Leagoo M8, Nomu S10 và Nomu S20. Điều đáng ngại là mã độc có thể xâm nhập vào bất cứ tiến trình nào của máy, bất kỳ ứng dụng nào đang chạy mà không cần đặc quyền root.

Bên cạnh đó, mã độc này còn nằm rất sâu trong hệ thống, do đó các nhà nghiên cứu nghi ngờ nó được cài sẵn kể từ khi xuất xưởng. Thậm chí, không loại trừ người viết firmware hoặc đối tác bên thứ ba can thiệp vào mã nguồn.

hai-hang-dien-thoai-gia-re-trung-quoc-dinh-ma-doc-moi

Leagoo M8 – một trong những smartphone giá rẻ dính mã độc Triada.

Tương tự phần mềm của AdUps mới phát hiện cách đây ít lâu, Triada là cái tên không hề xa lạ. Được phát hiện cuối năm 2016, nó được đánh giá là mã độc di động hiện đại nhất, có thể tự cài vào quy trình Zygote của Android và thực thi trong tất cả ứng dụng. Đầu năm nay, mã độc còn được bổ sung công nghệ sandbox DroidPlugin để tăng khả năng lẩn trốn.

Theo mô tả, chỉ cần “ứng dụng khởi động và thực hiện một bản ghi trên hệ thống”, Triada lập tức cài mã độc để kích hoạt các module bên trong, mục đích là tải về các trojan khác và đánh cắp thông tin người dùng, chủ yếu là tài khoản ngân hàng, thẻ tín dụng, tài khoản và mật khẩu mạng xã hội…

Bên cạnh đó, một module độc ​​hại khác của Triada có thể trích xuất và giải mã từ thư viện libandroid_runtime.so được thiết kế để tải các thành phần độc hại khác từ Internet và khiến chúng có thể tương tác với nhau. Lúc này, mức nguy hiểm tăng lên gấp bội.

“Triada ăn sâu vào hệ thống, do đó nó không thể bị xóa bằng cách thông thường. Cách duy nhất để loại bỏ nó là cài lại thiết bị bằng một bản Android sạch”, một nhà nghiên cứu của Dr. Web giải thích.

Hiện tại, Dr. Web đã gửi báo cáo này lên 2 hãng điện thoại Leagoo và Nomu nhưng chưa nhận được phản hồi.

Bảo Lâm

Nguồn: vnexpress.net

LEAVE A REPLY

Please enter your comment!
Please enter your name here