Cách nhận biết ứng dụng độc hại

Ngày nay, ai cũng có điện thoại thông minh, từ trẻ em đến người già. Điện thoại thông minh chứa rất nhiều ứng dụng giúp tăng năng suất trong cuộc sống thực. Ngày nay, con người có thể dành nhiều thời gian cho điện thoại thông minh hơn là cho người khác. Điện thoại thông minh trở thành một phần của cuộc sống, một phụ kiện, và có thể là nơi cất giữ bí mật của mỗi người. Mọi người lưu trữ gần như mọi thứ trong điện thoại của mình, từ ảnh, thông tin cá nhân đến tài khoản ngân hàng. Thói quen này khiến điện thoại thông minh trở thành mục tiêu ưu tiên hàng đầu của tin tặc trong các chiến dịch tấn công mạng, nhằm đánh cắp bí mật, hoặc đơn giản là tiền bạc. Các chiến dịch tấn công mạng này thường khai thác sự thiếu nhận thức hoặc kiến ​​thức hạn chế của người dùng về các yếu tố bảo mật ứng dụng di động. Android và iOS, theo mặc định, cung cấp nhiều cơ chế để bảo vệ người dùng khỏi bị tấn công, nhưng điểm yếu nhất trong hệ thống luôn là tâm lý con người. Nếu bạn sợ bị tấn công mạng, bài viết này dành cho bạn. Hy vọng bài viết này có thể giúp bạn chuẩn bị tinh thần để chống lại một trong những yếu tố rủi ro cao nhất trong thời đại Internet: tội phạm mạng.

Hầu hết các sự cố an ninh mạng – hay còn gọi là bị tấn công mạng – được công khai đều bắt đầu từ một bước rất phi kỹ thuật và có thể được thực hiện bởi bất kỳ ai, được gọi là Kỹ thuật xã hội (Social Engineering). Tấn công phi kỹ thuật (Social Engineering) là một loại thao túng mà kẻ gian lừa gạt người khác để lấy thông tin nhạy cảm, quyền truy cập hoặc tiền bạc – bằng cách khai thác tâm lý con người thay vì tấn công hệ thống. Để đánh cắp dữ liệu từ điện thoại của bạn, 99% trường hợp, tin tặc cần lừa bạn cài đặt các ứng dụng độc hại. Sau khi được cài đặt, các ứng dụng độc hại sẽ âm thầm đánh cắp dữ liệu và gửi lại cho tin tặc. Vì vậy, chỉ cần nhận biết ứng dụng nào có thể độc hại, bạn đã an toàn đến 99%. 1% còn lại liên quan đến các cuộc tấn công Zero Day, đây là những cuộc tấn công mạng thực sự, đòi hỏi kiến ​​thức và kỹ năng hack hàng đầu, nhưng sẽ không được đề cập trong bài viết này.

1. Đặc biệt chú ý đến nguồn tải app

Nguyên tắc vàng đối với ứng dụng di động là chỉ tải xuống từ các cửa hàng đáng tin cậy như PlayStore và AppStore. PlayStore và AppStore được cài đặt sẵn trên mọi điện thoại thông minh Android hoặc iOS. Đối với bất kỳ ứng dụng nào, chỉ tải xuống từ ứng dụng PlayStore (đối với điện thoại Android như Samsung, Pixel, Nexus, v.v.) và ứng dụng AppStore (đối với iPhone). KHÔNG cài đặt bất kỳ ứng dụng nào ngoài 2 cửa hàng chính thức này, bất kể lý do, mức độ khẩn cấp hay ai nói với bạn.

Trên Android, các ứng dụng di động được viết bằng ngôn ngữ Java và Kotlin, được xuất dưới dạng tệp APK (tệp có phần mở rộng .apk). Các tệp .apk này sau đó được ký bằng chữ ký số của chủ sở hữu – người đã đăng ký làm nhà phát triển trên PlayStore với thông tin pháp lý của họ. Quá trình này rất cần thiết vì nó có thể cho biết ai thực sự đứng sau một ứng dụng, và nếu bạn có bằng chứng về bất kỳ hoạt động độc hại nào, bạn biết phải kiện ai. Thông tin về người phát triển ứng dụng cụ thể có thể được tìm thấy trong phần “Hỗ trợ ứng dụng” bên dưới logo của ứng dụng đó.

Tệp APK có thể được cài đặt trực tiếp vào điện thoại Android thông qua sự cho phép rõ ràng của người dùng. Người dùng có thể chạm vào các tệp .apk được lưu trữ trong điện thoại của họ (ví dụ: trong thư mục Tải xuống hoặc thư mục Tài liệu), một cửa sổ bật lên sẽ hiển thị yêu cầu quyền cài đặt. Nếu người dùng cho phép, tệp .apk sẽ được cài đặt. Quá trình này thường dành cho các nhà phát triển để kiểm tra ứng dụng trước khi gửi lên Play Store. Đối với người dùng thông thường, quá trình này là một dấu hiệu rõ ràng của một ứng dụng độc hại. Vì vậy, nếu ai đó, vì bất kỳ lý do gì, yêu cầu bạn thực hiện các bước này theo cách thủ công, đừng tin tưởng họ và báo cáo cho cảnh sát càng sớm càng tốt. Quy trình lừa đảo điển hình như sau:

  1. Bạn đang sử dụng mạng xã hội như Facebook, thấy một bài đăng nói rằng hãy cài đặt một ứng dụng để nhận 1000 USD miễn phí như một phần thưởng dành cho người dùng đầu tiên.
  2. Bạn nhấp vào liên kết tải xuống, điện thoại của bạn tải nó vào thư mục Tải xuống.
  3. Bạn làm theo "hướng dẫn cài đặt" được viết bên cạnh liên kết tải xuống, nói rằng bạn mở ứng dụng Cài đặt, bật "cài đặt ứng dụng từ nguồn không xác định", sau đó mở thư mục Tải xuống, chạm vào tệp APK.
  4. Điện thoại Android của bạn hiển thị một cửa sổ bật lên cho biết APK đến từ nguồn không xác định, nhưng theo hướng dẫn, nó nói rằng bạn chỉ cần nhấn Chấp nhận.
  5. Sau đó, tệp APK độc hại sẽ được cài đặt và đánh cắp dữ liệu của bạn.

Tương tự, trên iPhone, các ứng dụng iOS được viết bằng ngôn ngữ Swift và ObjectC, và được xuất dưới dạng tệp .ipa. Các tệp IPA có thể được cài đặt thông qua App Store hoặc thông qua các công cụ dành cho nhà phát triển như Xcode. Thông thường, chúng ta không thể tự do cài đặt các tệp IPA trừ khi ứng dụng được ký bằng chứng chỉ hợp lệ hoặc iPhone được đăng ký để phát triển. Nhưng vẫn có một thủ đoạn mà tin tặc có thể lừa người dùng cài đặt các tệp IPA độc hại: thông qua việc lạm dụng TestFlight. TestFlight là công cụ chính thức của Apple để phân phối các phiên bản beta (thử nghiệm) của ứng dụng iOS trước khi chúng được phát hành công khai trên App Store. Các nhà phát triển sử dụng nó để mời người thử nghiệm, thu thập phản hồi và sửa lỗi trước khi phát hành. TestFlight là hợp pháp - nhưng nó có thể bị lạm dụng trong các cuộc tấn công kỹ thuật xã hội. Quy trình lừa đảo điển hình như sau:

  1. Ai đó giả mạo nhân viên ngân hàng, gọi cho bạn, nói chính xác tên, địa chỉ của bạn và nói rằng "Tài khoản ngân hàng của bạn đang gặp rủi ro pháp lý do chuyển tiền từ băng đảng tội phạm" hoặc "Cảnh sát đang kiểm tra tài khoản của bạn vì họ nghĩ bạn rửa tiền", với giọng điệu khẩn cấp, nghiêm trọng và có phần đe dọa. Sau đó, họ gửi cho bạn một đường dẫn để cài đặt ứng dụng iOS nội bộ của họ nhằm chứng minh bạn vô tội.
  2. Bạn nhấn vào đường dẫn đó, iPhone sẽ chuyển hướng bạn đến ứng dụng TestFlight vì đó là đường dẫn mời cài đặt TestFlight và iPhone của bạn chưa cài đặt TestFlight.
  3. Sau đó, bạn được yêu cầu nhấn vào đường dẫn một lần nữa, lần này ứng dụng giả mạo sẽ được cài đặt vào iPhone của bạn thông qua TestFlight.
  4. Ứng dụng giả mạo trông giống hệt ứng dụng chính thức của ngân hàng nên bạn không hề nghi ngờ.
  5. Nhưng sau đó, ứng dụng sẽ đánh cắp dữ liệu từ iPhone của bạn, hoặc lừa bạn điền tên người dùng, mật khẩu, thậm chí cả mã OTP và mã CVV.

2. Kiểm tra kỹ lại quyền truy cập ứng dụng

Khi người dùng đủ thông minh để không cài đặt ứng dụng từ nguồn không đáng tin cậy nữa, tin tặc có thể sử dụng chiêu trò cấp độ 2: Ngụy trang. Kế hoạch tấn công điển hình như sau:

  1. Lần này, tin tặc phát triển hoặc mua mã nguồn ứng dụng di động thông thường rồi phát hành trên PlayStore và AppStore như bình thường.
  2. Vì nó thông thường, PlayStore & AppStore chấp nhận và cho phép sử dụng.
  3. Sau đó, tin tặc gửi các bản cập nhật tiếp theo cho ứng dụng thông thường, với các tính năng mới yêu cầu một số quyền hệ thống như: đọc danh bạ, đọc nhật ký cuộc gọi, đọc thư viện ảnh, đọc GPS, v.v…
  4. Tin tặc quảng cáo ứng dụng đó với các tính năng tuyệt vời có thể mang lại kết quả vượt trội, đúng vào nhu cầu của một số người dùng.
  5. Sau đó, vì tò mò, người dùng cài đặt ứng dụng từ PlayStore hoặc AppStore tùy thuộc vào hệ điều hành điện thoại của họ.
  6. Ứng dụng yêu cầu người dùng cấp khá nhiều quyền nhưng người dùng thường không quan tâm và không hiểu nên chỉ chấp nhận.
  7. Sau đó, ứng dụng đánh cắp nhật ký cuộc gọi, ảnh, dữ liệu vị trí, v.v… từ điện thoại, nhờ vào sự cho phép của người dùng.

Cả Android và iOS đều có các biện pháp bảo vệ mặc định để bảo vệ quyền riêng tư của người dùng. Theo mặc định, không phải ứng dụng nào cũng có thể truy cập vào dữ liệu nhạy cảm trên điện thoại thông minh. Ví dụ, nếu một ứng dụng muốn xem ảnh, nhà phát triển – người tạo ra ứng dụng đó – phải đăng ký quyền “Truy cập thư viện ảnh”. Sau đó, bất cứ khi nào ứng dụng muốn sử dụng quyền này, hệ điều hành (Android/iOS) sẽ hiển thị một thông báo yêu cầu người dùng cấp quyền. Khi được cấp quyền, ứng dụng mới có thể xem ảnh trong điện thoại. Tương tự, các thông tin nhạy cảm khác như nhật ký cuộc gọi, GPS và nhiều thông tin khác cũng yêu cầu người dùng cấp quyền trước khi ứng dụng có thể thực sự đọc dữ liệu. Để biết ứng dụng muốn quyền gì, chúng ta có thể kiểm tra ngay trên Play Store đối với ứng dụng Android và App Store đối với ứng dụng iOS.

Cách kiểm tra quyền truy cập của ứng dụng Android

Trước khi bấm Cài đặt:

  1. Mở trang ứng dụng trên Google Play Store
  2. Cuộn xuống “App info” → “Permissions”
  3. Nhấn “See more” để xem đầy đủ chi tiết
  4. Kiểm tra những gì ứng dụng có thể truy cập, ví dụ như: Location, Contacts, Storage, Microphone, v.v.

Sau khi cài đặt:

  1. Vào Settings → Privacy → Permission Manager
  2. Chọn một quyền (ví dụ: Location)
  3. Xem những ứng dụng nào đang sử dụng quyền đó
  4. Bạn có thể thiết lập: Allow (luôn cho phép ứng dụng đọc dữ liệu), Allow only while using (chỉ cho phép ứng dụng đọc dữ liệu khi app đang mở), Deny (không cho phép ứng dụng đọc dữ liệu)

👉 Mẹo: Android cũng hiển thị quyền khi sử dụng lần đầu, vì vậy đừng lúc nào cũng nhấn “Allow”, hãy ưu tiên "Allow only while using"

Cách kiểm tra quyền truy cập của ứng dụng iOS

Trước khi bấm Cài đặt:

  1. Mở trang ứng dụng trên App Store
  2. Cuộn đến phần “App Privacy”
  3. Xem lại những dữ liệu mà ứng dụng có thể thu thập, ví dụ như: Location, Contacts, Identifiers, Usage data, v.v.

Sau khi cài đặt:

  1. Vào Settings → Privacy & Security
  2. Nhấn vào một danh mục (ví dụ: Location, Photos, Microphone)
  3. Chọn ứng dụng
  4. Chọn mức truy cập:Never (không cho phép ứng dụng đọc dữ liệu), Ask Next Time (luôn hỏi bạn quyền đọc dữ liệu khi cần), While Using (cho phép đọc dữ liệu khi app đang mở), Always (ứng dụng có thể đọc dữ liệu bất kì lúc nào)

Hãy xem xét các quyền này một cách cẩn thận. Dự đoán xem tính năng nào cần đến chúng. Nếu có quá nhiều quyền so với các tính năng dự kiến, đó là một dấu hiệu cảnh báo.

3. Kiểm tra kỹ hoạt động của ứng dụng

Chào mừng bạn đến với cấp độ 3 của hành vi độc hại: Zero Day Exploitation

Nhờ vào quy trình kiểm duyệt nghiêm ngặt của AppStorePlayStore, phần lớn các ứng dụng di động độc hại đều bị cấm. Nhưng đừng quá lạc quan!. Zero Day là những lỗ hổng chưa được công chúng biết đến, ngay cả trong giới chuyên gia, và trên thực tế, chúng được nhiều chính phủ vũ khí hóa như một sức mạnh quốc gia.

Bản thân Android & iOS cũng là phần mềm. Phần mềm có thể có lỗi và lỗ hổng bảo mật. Những lỗ hổng này được các chuyên gia trong ngành an ninh mạng tích cực săn tìm và được tài trợ bởi các chính phủ. Khi một Zero Day được phát hiện, nó trở thành vũ khí bí mật cho các nhóm tội phạm mạng để tấn công hoặc xâm nhập hệ thống trên toàn thế giới. Ứng dụng di động cũng không phải là ngoại lệ. Nếu có lỗ hổng trong hệ điều hành, ở đây là Android hoặc iOS, thì đó sẽ là mục tiêu cho cấp độ 3 của hành vi độc hại.

Mặc dù hiếm gặp, nhưng đây vẫn là trường hợp mà chúng ta – những người dùng thông thường – cần chú ý. Sau khi cài đặt một ứng dụng từ Google Play Store hoặc AppStore, hãy chú ý đến hiệu năng thiết bị:

  1. thiết bị có bị chậm hơn không,
  2. hoặc nóng hơn,
  3. hoặc bị giật lag
  4. hoặc có bất kỳ hành vi bất thường nào.

Lỗ hổng có nhiều dạng khác nhau, rất khó để giải thích trong một bài viết ngắn như thế này, nhưng nhiều dạng trong số đó tạo ra tải lớn lên thiết bị trong quá trình khai thác, vì vậy có thể khiến điện thoại chậm hơn, nóng hơn hoặc bị lag.

Xem thêm: