Mã độc xHelper có khả năng tự nhân bản và cài lại kể cả sau khi người dùng khôi phục thiết bị về cài đặt gốc (factory reset).
 Mã độc xHelper 'không thể xóa bỏ' nhờ cơ chế tự động nhân bản. Ảnh: ZDNet

Theo hãng bảo mật Symantec, xHelper, chủng mã độc mới gây nhiều phiền toái cho người dùng Android nhờ cơ chế tự nhân bản. Xuất hiện lần đầu vào tháng 3, đến tháng 8, xHelper đã ảnh hưởng tới hơn 32.000 thiết bị. Trong tháng 10, Symantec ghi nhận thêm 13.000 trường hợp, nâng tổng số thiết bị lây nhiễm lên 45.000.

Trung bình mỗi ngày, xHelper có thêm 131 nạn nhân mới và khoảng 2.400 nạn nhân mỗi tháng, hầu hết tập trung ở Mỹ, Nga và Ấn Độ.

Mã độc xHelper hiển thị quảng cáo và spam thông báo. Ảnh: ZDNet

Hãng bảo mật Malwarebytes cho biết, xHelper được phát tán chủ yếu bằng phương pháp "chuyển hướng trang web" (web direct), tức khi người dùng truy cập vào trang web này sẽ tự động bị chuyển sang trang web khác. Tại trang web chuyển hướng, người dùng được chỉ dẫn tải xuống ứng dụng không chính thức bên ngoài Play Store. Cuối cùng, các dòng mã ẩn sẽ âm thầm tải phần mềm độc hại xHelper ngụy trang dưới vỏ bọc ứng dụng thông thường.

Dù không can thiệp vào các phân vùng hệ thống hay thực hiện hành vi phá hoại, xHelper thường xuyên hiển thị quảng cáo và gửi thông báo chuyển hướng tới ứng dụng khác trên Play Store. Bằng phương thức này, kẻ phát tán sẽ kiếm được tiền hoa hồng trả cho mỗi lần cài đặt.

xHelper hoạt động ngầm dưới dạng một dịch vụ độc lập. Ảnh: ZDNet

Malwarebytes và Symantec đánh giá xHelper ở mức "cực kỳ nguy hiểm" bởi nguyên lý hoạt động khác với đa số phần mềm độc hại trên Android. Khi được cấp quyền truy cập thiết bị, xHelper sẽ tự cài đặt dưới dạng dịch vụ độc lập. Bất chấp việc người dùng gỡ bỏ ứng dụng hay khôi phục cài đặt của nhà sản xuất (Factory Reset), xHelper vẫn tồn tại nhờ cơ chế tự nhân bản, tiếp tục hiển thị quảng cáo và gửi thông báo rác.

Nhiều người thậm chí xóa dịch vụ xHelper và vô hiệu hóa tùy chọn "Cài đặt ứng dụng từ nguồn không xác định", nhưng mã độc vẫn tự cài lại chỉ sau vài phút. Hơn nữa, khả năng tải xuống và bí mật cài ứng dụng khác của xHelpers có thể được tội phạm khai thác để đánh cắp mật khẩu, tài khoản ngân hàng hay tấn công DDOS.

Bài đăng của một người dùng trên diễn đàn mở Reddit. Ảnh: ZDNet

Trong sáu tháng qua, nhiều người dùng đã báo cáo về tình trạng nhiễm mã độc "không thể xóa bỏ" này trên diễn đàn mở Reddit, trang hỗ trợ của Google Play và các diễn đàn công nghệ khác. Một số đã khắc phục thành công nhờ ứng dụng diệt virus trả phí, nhưng số khác lại không may mắn như vậy.

Trong một bài đăng trên blog, Symantec giải thích trojan liên tục được phát triển và cập nhật mã ẩn mới. Do đó, ứng dụng diệt virus có thể sẽ không loại bỏ được các phiên bản mới hơn của xHelper. Các chuyên gia bảo mật khuyến cáo người dùng nên thận trọng khi nhấn vào liên kết tải ứng dụng bên ngoài cửa hàng Play Store.

Theo Việt Anh (VnExpress.net)