Thông tin trên vừa được hãng nghiên cứu bảo mật Check Point (Israel) công bố. Trước đó Check Point đã phát hiện ra loại mã độc này từ tháng 2 và bắt đầu nghiên cứu nó trong những tháng vừa qua trước khi công bố thông tin. Check Point cho biết trong những tháng trước, số lượng người bị lây nhiễm loại mã độc này giữ ở mức ổn định nhưng đã có sự nhảy vọt trong thời gian giữa tháng 5.
Biểu đồ các quốc gia bị ảnh hưởng bởi mã độc HummingBad, trong đó có Việt Nam với hơn 137 ngàn thiết bị
Hiện tại có ít nhất 10 triệu thiết bị chạy Android đã bị lây nhiễm mã độc HummingBad, chủ yếu là người dùng tại Trung Quốc (1,6 triệu) và Ấn Độ (1,35 triệu). Các quốc gia khác tại châu Á như Philippines, Indonesia, Thái Lan cũng nằm trong danh sách các quốc gia có người dùng bị ảnh hưởng bởi HummingBad. Đáng chú ý, Việt Nam cũng nằm trong danh sách với khoảng hơn 137.000 thiết bị ảnh hưởng.
Điều khiến cho HummingBad trở nên đặc biệt đó là tác giả đứng sau loại mã độc này, mà theo Check Point đó là một nhóm các nhà phát triển từ công ty Yingmob, là một công ty phân tích quảng cáo có vốn lên đến hàng triệu USD, trụ sở nằm tại Bắc Kinh (Trung Quốc).
“Yingmob có nhiều nhóm phát triển các nền tảng quảng cáo và theo dõi hợp pháp”, Check Point cho biết trong thông báo đưa ra. “Tác giả chịu trách nhiệm phát triển loại mã độc hại này gồm 4 nhóm của Yingmob và có tổng cộng 25 nhân viên”.
Hummingbird là loại mã độc phát tác khi người dùng truy cập vào các trang web có chèn mã độc. Loại mã độc này sẽ cố gắng khai thác các lỗ hổng trên thiết bị chạy Android để chiếm quyền truy cập root (quyền truy cập cao nhất). Nếu thành công, kẻ tấn công sẽ có quyền truy cập đầy đủ vào thiết bị, ngược lại, một thành phần thứ 2 của mã độc này sẽ giả mạo một thông báo cập nhật hệ thống để lừa người dùng cấp quyền truy cập hệ thống cho HummingBad.
Loại mã độc này phát tán trên thiết bị chạy Android sẽ dùng để tạo ra doanh thu quảng cáo lừa đảo, mà theo Check Point sẽ mang về cho Yingmob số tiền lên đến 300.000USD mỗi tháng, thông qua việc cưỡng bức người dùng tải các ứng dụng hoặc kích vào các nội dung quảng cáo.
Không chỉ tạo doanh thu từ quảng cáo, nhóm phát triển HummingBad còn có thể bán quyền truy cập vào thiết bị Android hoặc bán các thông tin khai thác từ các thiết bị này cho các tổ chức khác.
Check Point không phải là hãng bảo mật duy nhất nhận thấy dấu hiệu bất thường và theo dõi hoạt động của Yingmob, mà Google cho biết “từ lâu công ty đã nhận thức được sự liên quan giữa những loại mã độc với Yingmob”. Check Point cho biết ngoài HummingBad, nhóm phát triển của Yingmob còn xây dựng nhiều loại mã độc khác nhằm đến cả nền tảng iOS.
“Yingmob có thể là công ty đầu tiên hoạt động hợp pháp có liên quan đến mã độc, nhưng chắc chắn đây không phải là trường hợp duy nhất”, Check Point nhận định.
Hiện Yingmob chưa đưa ra bất kỳ lời bình luận nào về phát hiện của CheckPoint.
Tác giả bài viết: T.Thủy