Được biết loại mã độc mới này có tên là DoubleLocker. Phương thức hoạt động của nó là mã hóa dữ liệu trên thiết bị lây nhiễm, rồi sau đó buộc người dùng phải trả tiền chuộc.

Cụ thể, nếu thiết bị lỡ dính mã độc này thì ứng dụng giả mạo Adobe Flash sẽ hỏi quyền kích hoạt của “Dịch vụ Google Play” sau đó khai thác một loạt lỗ hổng trong Accessibility Services, một tính năng được thiết kế cho những người khuyết tật có thể sử dụng điện thoại bao gồm các quyền đọc nội dung cửa sổ, bật tính năng truy cập web nâng cao cho mục đích cài đặt các đoạn mã thực thi và theo dõi việc gõ văn bản. Sau khi được cấp quyền, DoubleLocker sẽ cài đặt mã độc thành launcher mặc định của máy, luôn hiện thông báo đòi tiền chuộc mỗi khi nạn nhân mở máy.

Mã độc này sẽ khóa thiết bị của nạn nhân bằng cách mã hóa các tệp tin trong thiết bị bằng thuật toán mã hóa AES với phần tên mở rộng ".cryeye". Không chỉ vậy mã độc còn tìm cách thay đổi mã PIN của điện thoại khiến người dùng không thể sử dụng thiết bị trừ khi trả tiền chuộc. Số tiền cho mỗi lần chuộc là 0.0130 Bitcoins (tương đương 73 USD). Sau khi thiết bị bị mã hóa, nạn nhân có 24 giờ để trả tiền chuộc. Hacker tuyên bố người dùng sẽ không thể lấy lại được các tệp tin bị mã hóa nếu không trả tiền chuộc. Khi đó họ buộc phải khôi phục cài đặt gốc thiết bị, mọi dữ liệu cũng mất hết.

Các chuyên gia bảo mật nhận định rằng mã độc mới này có thể được nâng cấp trong tương lai để trộm tài khoản ngân hàng.

Cách bảo vệ điện thoại khỏi mã độc DoubleLocker

Cách tốt nhất để tự bảo vệ, tránh biến mình thành nạn nhân của DoubleLocker là người dùng chỉ tải ứng dụng từ nguồn tin tưởng như Google Play Store. Đồng thời, người dùng cũng không nên nhấp vào những liên kết được cung cấp qua SMS hay email. Quan trọng nhất là người dùng cần có ứng dụng antivirus trên smartphone để có thể ngăn chặn mã độc trước khi nó lây nhiễm.

Với những thiết bị đã bị nhiễm mã độc, cách thức duy nhất để loại bỏ DoubleLocker là khôi phục thiết bị về cài đặt gốc (factory reset). Chế độ này sẽ xóa toàn bộ dữ liệu cá nhân trên điện thoại. 

Tuy nhiên, nếu điện thoại đã được root và chạy ở chế độ debug trước khi DoubleLocker khóa máy, người dùng có thể vào được điện thoại khi sử dụng Android Debug Bridge (adb) rồi loại bỏ file hệ thống nơi lưu trữ mã PIN. 

Khi đó, người dùng có thể chuyển điện thoại sang chế độ “safe mode” để vô hiệu hóa các quyền kiểm soát (admin) của phần mềm độc hại và loại bỏ chúng. 

• Cách phòng tránh mã độc Red Alert 2.0 dành cho người dùng ngân hàng trực tuyến
• Loạt mã độc mới liên tục tấn công các doanh nghiệp Việt Nam
• Cảnh báo mã độc Red Alert 2.0 lấy cắp thông tin người dùng ngân hàng trực tuyến

Hương Mi