Mới đây, các nhà nghiên cứu bảo mật của Google Play Store đã phát hiện đã một Trojan nguy hiểm có tên Android.FakeApp.174, xuất hiện trên các nền tảng Android, sử dụng chính những thông báo web để chuyển hướng người dùng đến các trang web lừa đảo tinh vi.
Rất nhiều ứng dụng giả mạo các thương hiệu nổi tiếng để phân phối mã độc Android.FakeApp.174 này đã bị xóa vào đầu tháng 6 sau khi bị đội ngũ chuyên gia bảo mật tại Doctor Web phát hiện và báo cáo với Google.
Thông báo giả mạo
Mặc dù theo thống kê, các ứng dụng giả mạo này mới chỉ được cài đặt khoảng 1000 lần - con số chưa thể gây ra thiệt hại đáng kể, tuy nhiên những kẻ khai thác phần mềm độc hại hoàn toàn có thể xuất bản các ứng dụng tương tự khác bất cứ lúc nào trên Play Store, và cũng có thể chuyển sang sử dụng một số phương thức tấn công mạnh mẽ hơn như chuyển hướng nạn nhân đến các payload độc hại, khởi chạy những cuộc tấn công lừa đảo nhắm mục tiêu đến hệ thống hàng ngân hàng - tiền tệ, hoặc lan truyền tin tức giả.
Ví dụ: "Những người dùng lơ là, mất cảnh giác và thiếu kiến thức hoàn toàn có thể nghĩ rằng những thông báo giả được gửi đến điện thoại của họ là có thật, và nếu nhấn vào thông báo đó, họ sẽ bị chuyển hướng đến một trang web lừa đảo. Tại đây, nạn nhân sẽ tiếp tục bị lừa cung cấp tên tuổi, thông tin đăng nhập, địa chỉ email, số thẻ ngân hàng và nhiều thông tin cá nhân có giá trị khác", các nhà nghiên cứu Doctor Web giải thích.
2 trong số các ứng dụng độc hại được tìm thấy
Khi các ứng dụng giả mạo độc hại khởi chạy lần đầu tiên, Trojan Android.FakeApp.174 sẽ âm thầm tải một trang web được mã hóa cứng trong cài đặt của nó thông qua trình duyệt web Google Chrome. Trang web này có nhiệm vụ yêu cầu hệ thống mục tiêu cho phép thông báo giả mạo hiển thị dưới chiêu bài các câu hỏi xác minh rằng người dùng không phải là bot.
Khi đồng ý bật thông báo chuyển hướng web cho "mục đích xác minh", chủ sở hữu thiết bị bị xâm nhập đã vô tình đăng ký thông báo của trang web và sẽ bị spam với hàng tá thông báo giả mạo được gửi thông qua Chrome bằng công nghệ Web Push
Theo giải thích của Doctor Web, công nghệ này cho phép gửi thông báo ngay cả khi trình duyệt web đang đóng, hoặc khi trang web không được mở trong trình duyệt, và thậm chí ngay cả sau khi Trojan đã bị xóa hoàn toàn khỏi hệ thống của nạn nhân.
Hộp thoại xác minh yêu cầu quyền gửi thông báo
"Những tin nhắn thông báo giả mạo này được hiển thị trên bảng thông báo (notification panel) của thiết bị và hoàn toàn có thể bị nhầm với tin nhắn hệ thống. Chúng có thể trông giống như những thông báo được gửi từ các trang mạng xã hội, trang web hẹn hò, hãng tin và nhiều dịch vụ trực tuyến nổi tiếng khác".
Kẻ gian sử dụng các thông báo giả mạo được ngụy trang hoàn hảo này để chuyển hướng nạn nhân đến nhiều loại trang web lừa đảo khác nhau như "website đánh bạc trực tuyến, cửa hàng cá cược, các ứng dụng Google Play khác nhau, mã giảm giá và phiếu giảm giá, cũng như các cuộc thăm dò trực tuyến giả mạo tùy thuộc vào quốc gia cư trú của người dùng", các chuyên gia Doctor Web giải thích.
Thông báo gửi spam và các trang web lừa đảo mà chúng chuyển hướng đến
Các nhà nghiên cứu của Doctor Web dự báo rằng những kẻ tạo ra Trojan Android.FakeApp.174 "sẽ sử dụng tích cực hơn phương pháp này để quảng bá các dịch vụ độc hại, vì vậy người dùng thiết bị di động Android nên thận trọng trong khi truy cập vào các trang web, và tuyệt đối không đăng ký nhận thông báo từ một trang web xa lạ hoặc đáng ngờ".
Người dùng Android đã bị lừa đăng ký loại thông báo điều hướng web spam này nên thực hiện các bước sau để loại bỏ chúng:
- Truy cập vào mục cài đặt của Google Chrome, chọn tùy chọn Site Settings (Cài đặt trang web), và sau đó là Notifications (Thông báo).
- Trên danh sách các trang web có gửi thông báo, bạn hãy tìm địa chỉ trang web đáng ngờ, nhấn vào địa chỉ trang web đó và chọn Clear & reset.