Được xuất bản vào ngày 18 tháng 10 năm 2025, 9:00 sáng EDT
Sau khi gia nhập MUO vào năm 2014 và lấy được bằng về Hệ thống thông tin máy tính, Ben đã rời bỏ công việc CNTT để làm việc toàn thời gian cho trang này vào năm 2016. Anh gia nhập nhóm biên tập vào năm 2017 và thăng hạng kể từ đó.
Là một nhà văn, chuyên môn của anh ấy bao gồm những người giải thích và hướng dẫn về Windows, Android, Gaming và iPhone. Anh ấy làm chủ Windows từ năm 2009, có chiếc điện thoại Android đầu tiên vào năm 2011 và sử dụng iPhone hàng ngày kể từ năm 2020. Tác phẩm của anh ấy đã được xem hơn 100 triệu lần.
Giờ đây, với tư cách là Biên tập viên cấp cao tại MUO, Ben dẫn đầu phân khúc Thiết bị và Gia đình, dẫn đầu bằng cách viết hàng chục bài báo chất lượng cao mỗi tháng.
Ngoài công việc, Ben thích trải nghiệm các trò chơi điện tử mới, khám phá âm nhạc, tìm hiểu thông tin mới và tận hưởng thời gian bên bạn bè. Mặc dù MUO là nhà của anh ấy nhưng anh ấy cũng viết ngắn gọn cho Nintendo Life và đã đóng góp cho nhiều blog của công ty.
Thật dễ dàng để loại bỏ sự nguy hiểm khi cài đặt các ứng dụng chưa được xác minh, nhưng làm như vậy thường gây ra hậu quả. Các nhà nghiên cứu bảo mật gần đây đã phát hiện ra rằng một ứng dụng Android tự xưng là dịch vụ kết hợp IPTV và VPN miễn phí trên thực tế lại là một phần mềm độc hại khó chịu.
Phân tích cách thức hoạt động của nó rất thú vị và minh họa tầm quan trọng của việc cảnh giác với những gì bạn cài đặt trên thiết bị của mình.
Ứng dụng “VPN” mà bạn không muốn cài đặt
Các nhà nghiên cứu bảo mật tại Cleafy đã viết một báo cáo chuyên sâu về một dạng phần mềm độc hại mới, có tên là “Klopatra”, không liên quan đến bất kỳ dòng phần mềm độc hại nào đã biết.
Cuộc tấn công bắt đầu bằng một ứng dụng giả mạo có tên “Mobdro Pro IP TV + VPN”, ứng dụng này tuyên bố sẽ cấp quyền truy cập vào các kênh IPTV đồng thời cung cấp VPN miễn phí để ẩn danh. Nhiều luồng IPTV là bất hợp pháp vì chúng cung cấp nội dung có bản quyền mà không được phép. Do đó, những ứng dụng như thế này thường không có trên các cửa hàng ứng dụng chính thức vì chúng vi phạm điều khoản dịch vụ.
Trong quá trình thiết lập, ứng dụng sẽ nhắc bạn Tiếp tục cài đặt nút. Nhấn vào đây sẽ hiển thị lời nhắc của Android về việc cho phép ứng dụng cài đặt các ứng dụng khác, đây là dấu hiệu cảnh báo ngay lập tức. Ví dụ:bạn có thể ủy quyền cho ứng dụng Tệp tải các ứng dụng Android từ APK bạn tải xuống. Nhưng VPN/ứng dụng phát trực tuyến không có lý do gì để cài đặt các ứng dụng khác trên thiết bị của bạn.
Nhà cung cấp dịch vụ: Cleafy Nếu bạn cấp quyền này, bạn sẽ được nhắc cài đặt một ứng dụng khác có chứa phần mềm độc hại. Hãy lưu ý trong ảnh chụp màn hình ứng dụng thứ hai có ký tự “M” khác và được gọi là “Mobdro pro”. Điều này nhằm mục đích đánh lừa nạn nhân nghĩ rằng họ đang "hoàn tất" một quá trình cài đặt, trong khi thực tế là họ đang cài đặt một ứng dụng thứ hai, khác.
Ngay cả những mẹo bảo mật tốt nhất của Android cũng không thể ngăn cản bạn cấp quyền truy cập trực tiếp vào phần mềm độc hại.
Yêu cầu thêm quyền lạm dụng
Sau khi bạn bị lừa cài đặt ứng dụng Klopatra, ứng dụng này sẽ ngay lập tức yêu cầu các quyền chính để có thể chiếm quyền điều khiển thiết bị của bạn. Yêu cầu cốt lõi là dành cho Dịch vụ trợ năng, được các ứng dụng trợ năng hợp pháp sử dụng để đọc nội dung trên màn hình và tương tác với thiết bị cho bạn.
Nhưng những kẻ độc hại có thể sử dụng điều này để gây ra hàng tấn thiệt hại. Việc có quyền truy cập cho phép ứng dụng đọc tất cả văn bản trên màn hình, ghi lại mọi thứ bạn nhập trên thiết bị, điều hướng ứng dụng, nhấn nút, thực hiện thao tác vuốt và nhập văn bản cho bạn.
Sau khi ứng dụng có quyền này, ứng dụng sẽ sử dụng quyền này để tắt tính năng tối ưu hóa pin để Android không kết thúc quá trình này. Đồng thời, phần mềm độc hại cũng thu thập tất cả thông tin thiết bị của bạn, bao gồm cả các ứng dụng đã cài đặt, để hiểu rõ hơn về bạn.
Mối đe dọa rõ ràng, chi tiết
Cleafy tiếp tục cung cấp phân tích chi tiết về cách phần mềm độc hại này vượt xa các cuộc tấn công phần mềm độc hại thông thường trên điện thoại thông minh. Nó sử dụng nhiều công cụ và phương pháp khác nhau khiến việc phát hiện và đảo ngược kỹ thuật trở nên khó khăn hơn.
Về bản chất, phần mềm độc hại cung cấp quyền truy cập từ xa cho những kẻ tấn công, cho phép chúng làm mọi thứ bạn có thể với thiết bị trong tay. Điều đó bao gồm chế độ VNC ẩn, cho phép điều khiển từ xa với màn hình đen hiển thị. Do đó, chủ sở hữu của một thiết bị bị nhiễm sẽ không thể phát hiện ra điều gì đó không ổn bằng cách nhận thấy thiết bị của họ thực hiện các hành động—dường như là tự nó thực hiện.
Phần mềm độc hại này chủ động theo dõi các mối đe dọa đối với chính nó và ngăn cản bạn thực hiện hành động. Nó chứa danh sách các ứng dụng bảo mật Android phổ biến; nếu bạn cài đặt một trong những thứ này, nó sẽ cố gắng gỡ cài đặt nó để tránh bị phát hiện. Với toàn quyền kiểm soát, ứng dụng cũng có thể buộc thực hiện hành động "quay lại" nếu bạn biết chuyện gì đang xảy ra và cố gắng gỡ cài đặt ứng dụng độc hại.
Nhà cung cấp dịch vụ: Cleafy Tìm hiểu thêm về những người đứng sau việc này
Cuộc điều tra cho thấy Klopatra đến từ Thổ Nhĩ Kỳ, vì mọi thứ từ nhận xét của nhà điều hành về cá nhân nạn nhân cho đến chức năng mã hóa đều bằng tiếng Thổ Nhĩ Kỳ.
Tất cả những yếu tố này cho thấy một cuộc tấn công nhóm phức tạp và có phối hợp. Đây không phải là một kẻ chơi khăm có sở thích mua phần mềm độc hại trên kệ; đó là từ một nhóm biết rõ họ đang làm gì và dành thời gian để bảo vệ tài sản tấn công của mình.
Chiến dịch phần mềm độc hại tập trung vào châu Âu, với các cuộc tấn công nhằm vào các ngân hàng Tây Ban Nha và Ý. Tuy nhiên, nhóm đã xác định được máy chủ thứ ba chạy chiến dịch ở nhiều quốc gia khác, cho thấy cuộc tấn công có thể mở rộng theo thời gian.
Cleafy cũng lưu ý cuộc tấn công đã phát triển như thế nào theo thời gian, từ nguyên mẫu vào tháng 3 năm 2025 đến phiên bản hiện đại với tất cả các biện pháp bảo vệ và cơ chế trộm cắp tiên tiến.
Tấn công tài khoản tài chính của bạn
Mặc dù là độc nhất nhưng Klopatra vẫn sử dụng các thủ thuật đã biết từ các mối đe dọa Android khác. Nó chứa danh sách các ứng dụng tài chính; khi bạn mở một cái, phần mềm độc hại sẽ hiển thị một hộp thoại giả mạo giống hệt trên màn hình đăng nhập hợp pháp. Bạn không nhận thấy điều đó nhưng bạn đang chuyển mật khẩu của mình cho những kẻ tấn công.
Không có gì đáng ngạc nhiên khi những kẻ tấn công thích hành động vào ban đêm. Khi nạn nhân đang ngủ, thiết bị của họ có thể đang trực tuyến và đang sạc, điều này cho phép bọn tội phạm truy cập vào thiết bị mà không gây bất kỳ nghi ngờ nào.
Nhà cung cấp dịch vụ: Digvijay Kumar/MakeUseOf Thông qua quyền truy cập từ xa được root sâu, người điều hành từ xa có thể kiểm tra xem thiết bị có đang được sử dụng hay không, làm cho màn hình chuyển sang màu đen, sử dụng mã PIN bị đánh cắp để mở khóa thiết bị, sau đó mở ứng dụng ngân hàng và gửi chuyển khoản đến tài khoản của chính họ. Đó là một cuộc tấn công tinh vi, kết hợp cả thu thập dữ liệu tự động và hành động trực tiếp từ tác nhân độc hại.
Phân tích ứng dụng đã tìm thấy một trường văn bản nơi bọn tội phạm để lại ghi chú về những nỗ lực của chúng. Trong một ví dụ, văn bản cho thấy người điều hành đã có mẫu mở khóa của nạn nhân và việc chuyển khoản 7.000 USD đã không thành công.
Nhà cung cấp dịch vụ: Cleafy Hãy thông minh để giữ an toàn cho bản thân
Ngay cả khi bạn không sống ở những khu vực mà cuộc tấn công này nhắm mục tiêu, bạn vẫn có thể học được điều gì đó khi tìm hiểu cách thức hoạt động của nó. Do mức độ khó phát hiện và loại bỏ phần mềm độc hại này nên điều quan trọng là bạn không cho phép các loại ứng dụng này ở bất kỳ đâu gần hệ thống của mình.
Tuyến phòng thủ quan trọng nhất là không cài đặt các ứng dụng mà bạn không tin cậy, đặc biệt nếu chúng đến từ bên ngoài Cửa hàng Play. Liên quan đến vấn đề này, Google tuyên bố rằng Google Play Protect sẽ giữ cho thiết bị của bạn an toàn trước hành vi nguy hiểm. Và mặc dù có được điều đó thì tốt nhưng nó không thể nắm bắt được mọi thứ.
Điều đáng chú ý là trọng tải ban đầu của cuộc tấn công này là một ứng dụng hứa hẹn nội dung IPTV miễn phí. Việc tìm kiếm nội dung bất hợp pháp trực tuyến dẫn đến vô số rủi ro, bao gồm cả phần mềm độc hại, vì vậy, bạn nên tránh xa điều đó.
Và nếu bạn từng cài đặt một ứng dụng mà ngay lập tức muốn cài đặt một ứng dụng khác hoặc được bạn cấp các quyền sâu như Dịch vụ trợ năng, hãy bỏ chạy. Các ứng dụng hợp pháp sẽ không bao giờ làm điều này.