404 Not Found
Writer
Google vừa triển khai một chiến dịch quy mô lớn nhằm vô hiệu hóa IPIDEA, mạng lưới proxy ngầm đã âm thầm lợi dụng thiết bị Android trên toàn cầu. Theo ước tính, khoảng 9 triệu điện thoại và máy tính đã được giải phóng sau khi hạ tầng điều khiển trung tâm của hệ thống này bị đánh sập.
IPIDEA hoạt động bằng cách nhúng các thành phần phần mềm độc hại vào ứng dụng Android miễn phí, phổ biến nhất là game, VPN và các tiện ích mạng. Những thành phần này được phân phối thông qua SDK của bên thứ ba và được nhiều nhà phát triển tích hợp để tối ưu doanh thu. Khi người dùng cài đặt ứng dụng, thiết bị có thể bị biến thành một proxy trung chuyển lưu lượng mạng mà chủ máy không hề nhận ra.
Thông qua mạng lưới proxy này, tội phạm mạng có thể che giấu danh tính, thực hiện các hành vi phi pháp và triển khai các chiến dịch tấn công từ chính thiết bị của nạn nhân. Dữ liệu cá nhân không bị đánh cắp trực tiếp, nhưng thiết bị người dùng bị lạm dụng như một phần của hạ tầng tấn công, làm gia tăng rủi ro pháp lý và an toàn thông tin.
Phân tích của Google cho thấy nhiều dịch vụ VPN và proxy tưởng như độc lập thực chất đều do cùng một nhóm đứng sau vận hành. Họ sử dụng hàng loạt thương hiệu, tên miền và máy chủ khác nhau để mở rộng phạm vi lây nhiễm sang cả điện thoại Android lẫn máy tính để bàn. Mạng lưới này còn có liên hệ với botnet Kimwolf, từng lợi dụng hàng triệu thiết bị cho các hoạt động tấn công mạng có tổ chức.
Để ngăn chặn mối đe dọa, Google đã phối hợp với cơ quan chức năng Mỹ và nhận được lệnh từ tòa án liên bang cho phép đánh sập hàng chục tên miền cốt lõi của IPIDEA. Việc cắt đứt hạ tầng điều khiển đã làm gián đoạn đáng kể hoạt động của mạng lưới proxy ngầm này trên quy mô toàn cầu.
Dù vậy, nguy cơ chưa hoàn toàn biến mất nếu người dùng tiếp tục cài đặt ứng dụng từ nguồn không chính thức. Các chuyên gia khuyến nghị người dùng Android chỉ nên cài ứng dụng từ Google Play, tránh tải và cài file APK trôi nổi trên Internet, đặc biệt là các bản ứng dụng được chia sẻ qua mạng xã hội hoặc diễn đàn. Google Play Protect cần được bật thường xuyên để quét và chặn các ứng dụng có dấu hiệu chứa mã độc. Người dùng cũng nên kiểm tra kỹ quyền truy cập của ứng dụng, đặc biệt là các app VPN hoặc tiện ích mạng yêu cầu quyền truy cập sâu nhưng không có thông tin nhà phát triển rõ ràng. Với các ứng dụng hoặc trò chơi bất ngờ được phát hành miễn phí dù vốn là sản phẩm trả phí, cần đặt dấu hỏi về nguồn gốc và mức độ an toàn trước khi cài đặt.
Vụ việc IPIDEA cho thấy tội phạm mạng ngày càng tận dụng các phương thức gián tiếp, biến chính thiết bị cá nhân của người dùng thành công cụ tấn công mà không cần khai thác lỗ hổng kỹ thuật phức tạp.
Tổng hợp
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview