Microsoft phát hiện lỗ hổng nghiêm trọng ảnh hưởng hàng triệu người dùng ví tiền điện tử trên Android

Các nhà nghiên cứu bảo mật của Microsoft vừa phát hiện ra một lỗ hổng nghiêm trọng trong một bộ công cụ phát triển phần mềm (SDK) của bên thứ ba, được sử dụng rộng rãi trong các ứng dụng ví tiền điện tử trên Android. Lỗ hổng này có khả năng khiến hàng triệu người dùng bị lộ các thông tin cực kỳ nhạy cảm.

Lỗ hổng này nằm trong EngageSDK của EngageLab, một SDK được thiết kế để quản lý tin nhắn và thông báo đẩy trong các ứng dụng di động. Theo Microsoft, SDK này được các nhà phát triển tích hợp vào ứng dụng Android dưới dạng một thư viện phụ thuộc và hiện đang được các ứng dụng ví tiền điện tử sử dụng với tổng số lượt cài đặt vượt quá 30 triệu.

Android Banking Malware

Các phiên bản chưa được vá của EngageSDK bị ảnh hưởng bởi một lỗi liên quan đến "Android intents" – cơ chế cho phép tương tác giữa các ứng dụng khác nhau và chia sẻ dữ liệu giữa các thành phần của cùng một ứng dụng.

Các nhà nghiên cứu của Microsoft đã xác định một lỗi "chuyển hướng intent" (intent redirection). Lỗi này cho phép kẻ tấn công thao túng nội dung của một intent được gửi bởi các ứng dụng dễ bị tổn thương.

Cụ thể, một kẻ tấn công có thể sử dụng một ứng dụng độc hại chạy trên thiết bị mục tiêu để gửi các intent được tạo đặc biệt. Chúng sẽ tận dụng ứng dụng bị lỗi để vượt qua "sandbox" bảo mật của Android, từ đó truy cập vào dữ liệu nhạy cảm bao gồm thông tin cá nhân, thông tin đăng nhập của người dùng và dữ liệu tài chính.

Microsoft đã thông báo cho các nhà phát triển của EngageLab vào tháng 4 năm 2025. Đội ngũ bảo mật Android cũng được thông báo vào tháng sau đó do lỗ hổng này ảnh hưởng đến các ứng dụng được phân phối thông qua Google Play.

"Mặc dù đây là một lỗ hổng do SDK bên thứ ba gây ra, nhưng mô hình bảo mật nhiều lớp hiện có của Android có khả năng cung cấp các biện pháp giảm thiểu bổ sung chống lại việc khai thác lỗ hổng thông qua intents," Microsoft giải thích.

Công ty cho biết tất cả các ứng dụng ví tiền điện tử được phát hiện đang sử dụng phiên bản SDK dễ bị tổn thương đều đã bị gỡ bỏ khỏi Google Play. Ngoài ra, các biện pháp giảm thiểu do Android thực hiện cũng sẽ bảo vệ những người dùng đã từng tải xuống ứng dụng bị ảnh hưởng trước đó.

Một bản vá đã được EngageLab tung ra vào đầu tháng 11 năm 2025 cùng với việc phát hành phiên bản 5.2.1. Hiện tại, Microsoft đã công bố các chi tiết kỹ thuật, kêu gọi các nhà phát triển đảm bảo rằng họ đang sử dụng phiên bản mới nhất của SDK.

Gã khổng lồ công nghệ này cho biết chưa tìm thấy bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế.