Văn phòng Bảo mật Thông tin Liên bang Đức (BSI) vừa đưa ra cảnh báo bảo mật tới người dùng sau khi phát hiện bốn mẫu điện thoại đang bán tại nước này, gồm Doogee BL7000, M-Horse Pure 1, Keecoo P11 và VKworld Mix Plus bị nhiễm phần mềm độc hại cài sẵn trong firmware. Cả bốn smartphone đều chạy Android, xuất xứ tại Thâm Quyến (Trung Quốc) và thuộc phân khúc giá rẻ.
➥ Smartphone Android giá rẻ từ Trung Quốc nhiều lần bị phát hiện chứa phần mềm độc hại. Ảnh: Bleeping Computer.
Theo đại diện BSI, bốn mẫu điện thoại đã bị nhiễm Andr/Xgen2-CY, mã độc phát hiện lần đầu bởi Sophos Labs của Anh vào tháng 10/2018. Khi đó, Sophos cho biết nó được nhúng bên trong một ứng dụng có tên SoundRecorder, cài mặc định trên uleFone S8 Pro (cũng là một thiết bị có xuất xứ từ Trung Quốc).
Andr/Xgen2-CY sẽ hoạt động khi điện thoại được bật. Lúc này, nó sẽ thu thập hàng loạt thông tin quan trọng của máy, gồm số điện thoại, thông tin vị trí, IMEI, độ phân giải màn hình, model CPU, dung lượng RAM và bộ nhớ, dạng kết nối, địa chỉ mac, ngôn ngữ, nhà cung cấp dịch vụ mạng...
Bên cạnh đó, mã độc này còn cho phép kẻ tấn công điều khiển điện thoại từ xa, như tải, cài đặt hoặc gỡ ứng dụng, mở website, hiển thị các quảng cáo không mong muốn. "Không thể gỡ Andr/Xgen2-CY bằng tay bởi nó nằm sâu trong hệ thống. Cách tốt nhất là cập nhật firmware mới", đại diện BSI nhấn mạnh.
Số liệu từ BSI cho thấy, có ít nhất 20.000 địa chỉ IP tại Đức bị Andr/Xgen2-CY kiểm soát và gửi dữ liệu mỗi ngày. Cơ quan này dự đoán, người dùng quốc gia khác sử dụng các mẫu smartphone trên nhiều khả năng cũng bị ảnh hưởng.
Đây không phải là lần đầu tiên smartphone giá rẻ của Trung Quốc cài sẵn phần mềm độc hại. Hãng nghiên cứu bảo mật Dr.Web từng tìm thấy một số biến thể trojan Triada bên trong firmware của 26 mẫu smartphone giá rẻ có xuất xứ từ Trung Quốc năm 2016 và 42 thiết bị tương tự năm 2018. Tháng 5/2018, đến lượt Avast tìm ra trojan Cosiloon bên trong 141 smartphone Android khác. Những mã độc này đều có chung đặc điểm là tự động thu thập dữ liệu người dùng và gửi về máy chủ, cũng như cho phép hacker thực thi các lệnh từ xa.
Như Phúc (theo ZDnet)
Bài về chủ đề Thủ đoạn: