Một loại mã độc Android mới có tên DroidLock vừa được phát hiện, cho phép tin tặc khóa toàn bộ thiết bị của nạn nhân để đòi tiền chuộc, đồng thời có khả năng truy cập sâu vào dữ liệu cá nhân như tin nhắn, lịch sử cuộc gọi, danh bạ, bản ghi âm và thậm chí xóa sạch dữ liệu trên máy.
Theo phân tích của các chuyên gia, DroidLock cho phép kẻ tấn công giành quyền kiểm soát gần như hoàn toàn thiết bị Android thông qua cơ chế chia sẻ màn hình. Đáng chú ý, mã độc này còn có thể đánh cắp mật khẩu khóa màn hình bằng cách hiển thị một lớp giao diện giả đè lên màn hình thật, đánh lừa người dùng nhập thông tin mở khóa và gửi trực tiếp dữ liệu đó về cho kẻ tấn công.
Theo các nhà nghiên cứu, chiến dịch hiện nay chủ yếu nhắm vào người dùng nói tiếng Tây Ban Nha, song nguy cơ lan rộng sang các quốc gia khác là rất lớn nếu không được ngăn chặn kịp thời.
Mã độc được phát tán thông qua các trang web lừa đảo (phishing), dụ người dùng cài đặt một ứng dụng giả mạo nhà mạng viễn thông hoặc các thương hiệu quen thuộc. Trên thực tế, ứng dụng này chỉ đóng vai trò công cụ trung gian để cài đặt mã độc nguy hiểm hơn vào thiết bị.
Khi đã có đủ quyền kiểm soát, DroidLock có thể thực hiện nhiều hành vi nguy hiểm như khóa thiết bị, thay đổi mã PIN, mật khẩu hoặc dữ liệu sinh trắc học, reset máy, bật camera, gỡ cài đặt ứng dụng hoặc làm tắt tiếng thiết bị. Phân tích kỹ thuật cho thấy mã độc này hỗ trợ tới 15 lệnh điều khiển khác nhau, cho phép kẻ tấn công thao túng thiết bị từ xa một cách linh hoạt.
Sau khi nhận lệnh từ máy chủ điều khiển, giao diện đòi tiền chuộc sẽ được hiển thị ngay lập tức thông qua WebView. Nội dung thông báo yêu cầu nạn nhân liên hệ với kẻ tấn công qua một địa chỉ email Proton và cảnh báo rằng nếu không trả tiền trong vòng 24 giờ, toàn bộ dữ liệu trên thiết bị sẽ bị phá hủy vĩnh viễn. Dù DroidLock không trực tiếp mã hóa dữ liệu như các ransomware truyền thống, việc đe dọa xóa dữ liệu và khóa quyền truy cập thiết bị vẫn đủ để gây áp lực buộc nạn nhân phải trả tiền.
Các chuyên gia khuyến cáo người dùng Android không nên cài đặt ứng dụng từ các nguồn bên ngoài Google Play nếu không thực sự tin cậy nhà phát hành. Việc kiểm tra kỹ các quyền mà ứng dụng yêu cầu, đặc biệt là quyền quản trị thiết bị và Trợ năng, là bước quan trọng để giảm thiểu rủi ro. Bên cạnh đó, người dùng nên thường xuyên quét thiết bị bằng Play Protect để phát hiện sớm các hành vi bất thường.
