Mới đây, công ty sản xuất và phân phối phần mềm bảo mật hàng đầu thế giới Kaspersky (Nga) đã phát hiện một phần mềm độc hại mới mà kẻ tấn công có thể cài đặt lén lút trên iPhone chạy hệ điều hành iOS phiên bản đời cũ.
Theo đó, phần mềm độc hại này đã tận dụng lỗ hổng bảo mật trên dịch vụ tin nhắn iMassage do Apple cung cấp để gửi mã độc và chiếm quyền điều khiển thiết bị.
iMessage được biết đến là dịch vụ nhắn tin của Apple dành riêng cho các thiết bị trong hệ sinh thái của “táo khuyết” như iPhone, iPad, iPod touch hoặc MacBook, hoạt động thông qua mạng dữ liệu di động hoặc Wi-Fi. Những tin nhắn iMessage sẽ hoàn toàn được mã hoá và xuất hiện dưới dạng tin nhắn có màu xanh dương. Bên cạnh đó, gửi những tin nhắn iMessage sẽ hoàn toàn miễn phí chỉ yêu cầu điện thoại bạn vào được mạng.
Phần mềm độc hại được phát hiện khi Kaspersky nghi ngờ rằng có điều gì đó không ổn về hoạt động của iPhone thuộc sở hữu của nhân viên kể cả quản lý cấp trung và cấp cao như thiết bị chạy chậm bất thường và không thể cập nhật hệ điều hành iOS mới. Không thể kiểm tra iPhone từ bên trong, vì vậy Kaspersky đã tạo các bản sao lưu ngoại tuyến của các thiết bị mà họ cho là đã bị nhiễm vi-rút và tìm thấy các bằng chứng về sự xâm nhập của phần mềm độc hại này.
Nhà sản xuất phần mềm bảo mật Kaspersky cho rằng, đây là một chiến dịch được nhắm mục tiêu chống lại chủ sở hữu iPhone của nhóm tội phạm mạng. Kaspersky gọi đây là “Chiến dịch tam giác”.
Phần mềm độc hại hoạt động như thế nào?
Tội phạm mạng sẽ dùng ứng dụng tin nhắn iMessage để gửi tin nhắn đính kèm mã độc đến các iPhone mục tiêu. Phần mềm độc hại này sẽ tự nó lợi dụng các lỗ hổng bảo mật trong hệ điều hành iOS để thực thi mã và cài đặt phần mềm độc hại mà không cần người dùng iPhone làm bất cứ điều gì.
Phần mềm độc hại sau đó có thể xâm nhập vào bên trong iOS mà người dùng không hay biết. Sau khi cài đặt thành công, chúng sẽ “nghe lệnh” từ các tin tặc từ xa mỗi khi thiết bị kết nối Internet.
Kaspersky cho biết khi khai thác lỗ hổng, mã độc có quyền truy cập không hạn chế vào iPhone và chạy một loạt lệnh để thu thập thông tin cá nhân, gồm bản ghi micro, hình ảnh từ trình nhắn tin và vị trí địa lý. Thậm chí, các tin nhắn đã bị xóa cũng có thể được khôi phục. Sau khi đánh cắp dữ liệu, phần mềm sẽ tự động xóa dấu vết, do đó người dùng khó phát hiện iPhone của mình bị nhiễm mã độc.
Làm thế nào để loại bỏ phần mềm độc hại này ra khỏi iPhone?
Có một cách dễ dàng để nhận biết sự hiện diện của phần mềm độc hại này trên iPhone đó là người dùng không thể cập nhật hệ điều hành iOS phiên bản mới hơn cho thiết bị của mình. Vì các bản cập nhật iOS bị chặn nên hiện tại không thể xóa phần mềm độc hại này mà không làm mất dữ liệu người dùng.
Do đó, cách duy nhất để loại bỏ phần mềm độc hại ra khỏi thiết bị iPhone của người dùng là khôi phục lại cài đặt gốc và tải xuống phiên bản iOS mới nhất. Tuy nhiên, điều này có thể không thực hiện được đối với một số mẫu iPhone đời cũ do không được hỗ trợ cập nhật hệ điều hành mới. Mặt khác, ngay cả khi phần mềm độc hại này bị xóa khỏi bộ nhớ thiết bị iPhone thì sau khi khởi động lại, nó vẫn có thể lây nhiễm lại thông qua các lỗ hổng trong phiên bản iOS lỗi thời.
“Chiến dịch tam giác” được ước tính đã hoạt động từ 2019 và vẫn tiếp diễn đến nay. Apple được cho là đã biết lỗ hổng và vá nó, bởi chỉ các mẫu iPhone chạy hệ điều hành iOS 15.7 trở về trước mới dễ bị tấn công.
Theo Apple, hơn 80% người dùng iPhone đã cập nhật hệ điều hành iOS 16, có nghĩa đa số không còn gặp nguy cơ tấn công. Tuy nhiên, với 1,36 tỷ iPhone đang hoạt động trên thế giới, 258 triệu người dùng iPhone vẫn có thể bị nhắm mục tiêu.
Kaspersky cho rằng, iPhone là mục tiêu dễ dàng cho các cuộc tấn công như thế này vì hệ điều hành iOS giống như một “hộp đen”, nơi phần mềm độc hại có thể dễ dàng ẩn náu trong nhiều năm. Apple độc quyền về các công cụ nghiên cứu nên việc phát hiện những mối đe dọa này không hề dễ dàng.
Cũng theo Kaspersky, đây chỉ là bước khởi đầu của cuộc điều tra về cuộc tấn công tinh vi này và vẫn còn rất nhiều việc phải làm trong thời gian tới. Khi vụ việc tiếp tục được điều tra, các dữ liệu mới liên quan đến phần mềm độc hại này sẽ được công bố tại Hội nghị quốc tế về an toàn không gian mạng diễn ra vào tháng 10 tới./.
Theo nguồn sưu tầm.