SecuriDropper hoạt động dưới dạng dropper malware, nhóm phần mềm chuyên đóng vai trò trung gian để đưa mã độc khác vào điện thoại. Thay vì tấn công trực tiếp, công cụ này ngụy trang thành ứng dụng thông thường, sau đó âm thầm mở đường cho các trojan ngân hàng cài sâu vào hệ thống. Điểm nguy hiểm nằm ở cách vận hành mới. Tin tặc không yêu cầu quyền nhạy cảm ngay từ đầu nhằm tránh kích hoạt cơ chế cảnh báo bảo mật của Android.
![SecuriDropper vượt hàng rào an ninh mạng trên Android. Ảnh: Polyswarm]( "SecuriDropper vượt hàng rào an ninh mạng trên Android. Ảnh: Polyswarm") |
| SecuriDropper vượt hàng rào an ninh mạng trên Android. Ảnh: Polyswarm |
Restricted Settings xuất hiện từ Android 13 nhằm chặn ứng dụng ngoài Google Play truy cập quyền Trợ năng và Notification Listener. Hai quyền này từng bị nhiều nhóm tội phạm mạng lợi dụng để đọc tin nhắn OTP, điều khiển thao tác màn hình, đánh cắp thông tin ngân hàng hoặc chuyển tiền trái phép. Hàng loạt vụ lừa đảo tài chính tại Việt Nam thời gian qua đều khai thác chính cơ chế này. Một số nạn nhân mất hàng tỉ đồng chỉ trong vài phút sau khi cấp quyền cho ứng dụng giả mạo.
SecuriDropper thay đổi toàn bộ cách tiếp cận. Đầu tiên, người dùng bị dẫn dụ cài một ứng dụng tưởng chừng vô hại, chưa yêu cầu quyền đặc biệt. Sau khi xuất hiện trên thiết bị, ứng dụng này tiếp tục gọi các API Android nhằm giả lập phiên cài đặt tương tự Google Play. Hệ điều hành khi đó nhận diện tiến trình dưới dạng cài đặt hợp lệ, từ đó bỏ qua lớp kiểm tra Restricted Settings. Trojan ngân hàng tiếp tục được đưa vào máy mà gần như không gặp cản trở.
Theo dữ liệu từ ThreatFabric, nhiều trojan nổi tiếng như SpyNote hay ERMAC đã xuất hiện cùng cơ chế phát tán mới trên các website lừa đảo và nền tảng bên thứ ba như Discord. Điều này cho thấy giới tội phạm mạng không còn phụ thuộc hoàn toàn vào file APK truyền thống. Chúng bắt đầu tận dụng chính các thành phần hợp pháp bên trong Android để che giấu hoạt động.
Vấn đề nằm ở chỗ Android nhiều năm qua liên tục tăng số lớp bảo vệ, song tin tặc cũng thay đổi tốc độ tương đương. Restricted Settings từng được xem như rào chắn quan trọng trước làn sóng mã độc ngân hàng tại Đông Nam Á. Tuy nhiên, SecuriDropper cho thấy cơ chế bảo vệ chỉ hiệu quả khi hệ điều hành nhận diện đúng bản chất tiến trình cài đặt. Khi tin tặc giả lập thành công hành vi của Google Play, lớp phòng thủ gần như mất khả năng phân biệt.
Google cho biết hãng tiếp tục rà soát các kỹ thuật tấn công mới nhằm tăng cường khả năng bảo vệ Android. Trong khi đó, Google Play Protect vẫn đóng vai trò tuyến phòng vệ bổ sung để phát hiện ứng dụng có dấu hiệu nguy hiểm. Tuy nhiên, sự xuất hiện của SecuriDropper cho thấy cuộc đối đầu giữa nền tảng di động và giới tội phạm mạng đang bước sang giai đoạn phức tạp hơn, nơi các cơ chế bảo mật truyền thống khó còn giữ ưu thế tuyệt đối.
