Từ “màn hình đen” tới ứng dụng giả mạo: Hacker đang chiếm quyền điện thoại như thế nào?

Các chiến dịch tấn công vào thiết bị di động không chỉ dừng ở việc đánh cắp thông tin, mà còn chuyển sang chiếm quyền điều khiển điện thoại để tự ý thao tác thay cho người dùng.

Trước hết, một số mã độc có khả năng điều khiển từ xa thông qua công nghệ “mô phỏng thao tác” (tương tự điều khiển máy tính từ xa). Theo The Hacker News, trojan Klopatra có thể kích hoạt chế độ “màn hình đen” khi điện thoại tắt màn hình, từ đó mở ứng dụng ngân hàng và thực hiện giao dịch mà người dùng không hề hay biết. Cơ chế này giống như việc hacker đang cầm chính chiếc điện thoại của nạn nhân.

Không chỉ dừng lại ở đó, nhiều loại mã độc còn chọn cách ghi lại toàn bộ thao tác trên thiết bị thay vì điều khiển trực tiếp. Báo cáo từ Cybernews cho thấy mã độc Brokewell lợi dụng quyền “Hỗ trợ tiếp cận” (Accessibility), vốn được thiết kế cho người khuyết tật, để theo dõi từng cú chạm, vuốt, nội dung hiển thị và thông tin được nhập vào. Những dữ liệu này được gửi về máy chủ để hacker mô phỏng lại hành vi người dùng, qua đó chiếm quyền truy cập các ứng dụng ngân hàng mà không cần kiểm soát toàn màn hình.

Đáng lo hơn, nhiều chiến dịch còn sử dụng chiêu thức giả mạo ứng dụng hợp pháp để dụ người dùng cấp quyền nhạy cảm. Malwarebytes ghi nhận một loạt mã độc cải trang thành ứng dụng tin tức, ứng dụng giấy tờ tùy thân hoặc tiện ích quen thuộc. Khi người dùng cài đặt, chúng yêu cầu cấp quyền Hỗ trợ tiếp cận. Từ đó có thể tự chèn lớp phủ giả (overlay) lên màn hình ứng dụng thật, chặn thông báo ngân hàng hoặc bí mật thu thập thông tin cá nhân. Một khi quyền này được cấp, hacker gần như có thể thao túng toàn bộ thiết bị, âm thầm rút toàn bộ tiền trong tài khoản ngân hàng mà người dùng không hề hay biết.

Những dấu hiệu cảnh báo điện thoại đang bị chiếm quyền

Dù hacker thường cố gắng che giấu mọi hành động, thiết bị vẫn để lộ một số dấu hiệu bất thường nếu đang bị can thiệp hoặc cài mã độc điều khiển từ xa. Theo Norton, nhà cung cấp phần mềm diệt virus và giải pháp bảo mật hàng đầu của Mỹ, một số dấu hiệu phổ biến gồm:

- Điện thoại trở nên chậm, giật hoặc nóng bất thường, dù người dùng không mở nhiều ứng dụng.

- Pin tụt nhanh hoặc dữ liệu di động tăng bất thường, đặc biệt khi người dùng chỉ sử dụng thiết bị ở mức cơ bản.

- Xuất hiện ứng dụng lạ hoặc quyền bất thường được cấp, như quyền đọc tin nhắn, xem thông báo, truy cập micro hay camera mà người dùng không cấp.

- Màn hình hiển thị các thao tác lạ, như tự bật ứng dụng, tự vuốt hoặc mở menu mà người dùng không thực hiện.

Những dấu hiệu này tuy không phải lúc nào cũng đồng nghĩa với việc điện thoại bị hack, nhưng nếu người dùng gặp 2–3 triệu chứng cùng lúc, nên kiểm tra thiết bị ngay lập tức và cẩn trọng với các ứng dụng hoặc quyền vừa được cấp.

Ngoài ra, NIST , cơ quan tiêu chuẩn và công nghệ của Mỹ, khuyến nghị người dùng nên tắt Wi‑Fi, Bluetooth hoặc NFC khi không sử dụng, đồng thời kiểm soát quyền truy cập phần cứng như camera hay micro, nhằm bảo vệ thiết bị, thông tin cá nhân và tiền trong tài khoản khỏi các rủi ro bị tấn công.