WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Phát hiện mã độc lấy cắp tài khoản Facebook nghi có nguồn gốc từ Việt Nam
Các chuyên gia an ninh đã phát hiện được 53 ứng dụng trên nền tảng Android có chứa mã độc với mục đích lấy cắp tài khoản Facebook. Những ứng dụng này được nghi có nguồn gốc từ tin tặc Việt Nam và một vài trong số các ứng dụng này đã được tải về hơn 100.000 lần.
Các chuyên gia của hai hãng an ninh Trend Micro và Avast đã phát hiện một loại mã độc có tên gọi GhostTeam được chèn vào bên trong 53 ứng dụng đang được chia sẻ trên kho ứng dụng Google Play dành cho nền tảng Android.
Các chuyên gia an ninh cho biết những ứng dụng chứa mã độc này đã từng được chia sẻ lên Google Play từ tháng 4/2017 nhưng chỉ mới được phát hiện gần đây. Trong đó có những ứng dụng đã có hơn 100.000 lượt tải và sử dụng.
Đáng chú ý trong số 53 ứng dụng này có rất nhiều ứng dụng của các nhà phát triển Việt Nam và có tên gọi hoàn toàn bằng tiếng Việt, chẳng hạn ứng dụng “Lịch Vạn Niên”, “Lịch Vạn Sự”, “Lịch Âm”, ứng dụng la bàn, máy quét mã QR, ứng dụng tối ưu hóa và dọn rác…
Cách hoạt động của mã độc GhostTeam phù hợp với kỹ thuật mới nhất mà các tin tặc đang sử dụng để phát tán phần mềm độc hại trên nền tảng Android. Theo đó các ứng dụng được tin tặc phát triển là các ứng dụng sạch để qua mắt Google và thiết bị Android, tuy nhiên sau khi cài đặt lên thiết bị của người dùng, ứng dụng này sẽ kết nối với máy chủ ở bên ngoài để tải thêm một ứng dụng phụ thứ hai, đây mới chính là ứng dụng có chứa mã độc hại.
Ứng dụng thứ hai này thường được ngụy trang dưới dạng ứng dụng cấp hệ thống. Tin tặc sẽ sử dụng cảnh báo an ninh giả mạo hiển thị trên ứng dụng được cài đặt ban đầu để lừa người dùng cài đặt thêm ứng dụng phụ thứ hai này và giành quyền quản trị.
Khi ứng dụng chứa mã độc chiếm được quyền quản trị trên thiết bị, mã độc sẽ bắt đầu hiển thị các quảng cáo trên smartphone của người dùng. Không dừng lại ở đó, các chuyên gia an ninh cho biết mã độc GhostTeam cũng sẽ ăn cắp thông tin đăng nhập của tài khoản Facebook. Đáng chú ý mã độc này có thể đánh cắp dữ liệu trực tiếp từ ứng dụng Facebook trên smartphone, thay vì tạo ra trang giả mạo để người dùng đăng nhập vào tài khoản Facebook của mình rồi mới đánh cắp.
Mã độc này sẽ phát hiện khi người dùng mở ứng dụng Facebook, sau đó chờ khi người dùng mở ra trang đăng nhập Facebook từ bên trong một thành phần trình duyệt web di động trên smartphone. Mã độc GhostTeam sẽ tự động tải những đoạn mã JavaScript độc hại để lấy cắp thông tin tài khoản Facebook ngay khi người dùng đăng nhập tài khoản lên trình duyệt web, sau đó gửi các thông tin này ra máy chủ bên ngoài cho hacker đang nắm giữ.
Theo các chuyên gia an ninh của Trend Micro và Avast thì có vẻ như những ứng dụng độc hại có chứa mã độc GhostTeam đều được tạo ra bởi những tin tặc tại Việt Nam. Nhiều ứng dụng độc hại này có ngôn ngữ mặc định là tiếng Việt, với phần giới thiệu về ứng dụng trên Google Play là tiếng Việt và thậm chí các ứng dụng này liên kết với những máy chủ đặt tại Việt Nam.
Các chuyên gia của hai hãng an ninh Trend Micro và Avast đã phát hiện một loại mã độc có tên gọi GhostTeam được chèn vào bên trong 53 ứng dụng đang được chia sẻ trên kho ứng dụng Google Play dành cho nền tảng Android.
Đáng chú ý trong số 53 ứng dụng này có rất nhiều ứng dụng của các nhà phát triển Việt Nam và có tên gọi hoàn toàn bằng tiếng Việt, chẳng hạn ứng dụng “Lịch Vạn Niên”, “Lịch Vạn Sự”, “Lịch Âm”, ứng dụng la bàn, máy quét mã QR, ứng dụng tối ưu hóa và dọn rác…
Cách hoạt động của mã độc GhostTeam phù hợp với kỹ thuật mới nhất mà các tin tặc đang sử dụng để phát tán phần mềm độc hại trên nền tảng Android. Theo đó các ứng dụng được tin tặc phát triển là các ứng dụng sạch để qua mắt Google và thiết bị Android, tuy nhiên sau khi cài đặt lên thiết bị của người dùng, ứng dụng này sẽ kết nối với máy chủ ở bên ngoài để tải thêm một ứng dụng phụ thứ hai, đây mới chính là ứng dụng có chứa mã độc hại.
Ứng dụng thứ hai này thường được ngụy trang dưới dạng ứng dụng cấp hệ thống. Tin tặc sẽ sử dụng cảnh báo an ninh giả mạo hiển thị trên ứng dụng được cài đặt ban đầu để lừa người dùng cài đặt thêm ứng dụng phụ thứ hai này và giành quyền quản trị.
Khi ứng dụng chứa mã độc chiếm được quyền quản trị trên thiết bị, mã độc sẽ bắt đầu hiển thị các quảng cáo trên smartphone của người dùng. Không dừng lại ở đó, các chuyên gia an ninh cho biết mã độc GhostTeam cũng sẽ ăn cắp thông tin đăng nhập của tài khoản Facebook. Đáng chú ý mã độc này có thể đánh cắp dữ liệu trực tiếp từ ứng dụng Facebook trên smartphone, thay vì tạo ra trang giả mạo để người dùng đăng nhập vào tài khoản Facebook của mình rồi mới đánh cắp.
Mã độc này sẽ phát hiện khi người dùng mở ứng dụng Facebook, sau đó chờ khi người dùng mở ra trang đăng nhập Facebook từ bên trong một thành phần trình duyệt web di động trên smartphone. Mã độc GhostTeam sẽ tự động tải những đoạn mã JavaScript độc hại để lấy cắp thông tin tài khoản Facebook ngay khi người dùng đăng nhập tài khoản lên trình duyệt web, sau đó gửi các thông tin này ra máy chủ bên ngoài cho hacker đang nắm giữ.
Theo các chuyên gia an ninh của Trend Micro và Avast thì có vẻ như những ứng dụng độc hại có chứa mã độc GhostTeam đều được tạo ra bởi những tin tặc tại Việt Nam. Nhiều ứng dụng độc hại này có ngôn ngữ mặc định là tiếng Việt, với phần giới thiệu về ứng dụng trên Google Play là tiếng Việt và thậm chí các ứng dụng này liên kết với những máy chủ đặt tại Việt Nam.
Theo Dân trí