Phát hiện một phần mềm đánh cắp tài khoản Facebook trên điện thoại được phát triển bởi hacker Việt Nam

Mặc dù Google đã đưa ra nhiều biện pháp nhằm làm trong sạch chợ ứng dụng Google Play nhưng những mã độc vẫn xuất hiện đều đặn và càng ngày càng nguy hiểm hơn.

Mới đây, các chuyên gia bảo mật đã phát hiện một dòng mã độc mới có tên gọi là GhostTeam được sử dụng để để đánh cắp thông tin đăng nhập Facebook và hiện thị quảng cáo trên thiết bị người dùng. Dòng mã độc này bao gồm có ít nhất 56 ứng dụng trên Google Play như đèn pin, máy quét mã QR, la bàn, làm tăng cường hiệu suất thiết bị, video downloader...

Do trong mã có sử dụng tiếng Việt nên các chuyên gia bảo mật tin rằng, một nhà phát triển Việt Nam đã phát triển GhostTeam và tải lên Play Store.

Theo các nhà nghiên cứu phần mềm độc hại GhostTeam ảnh hưởng chủ yếu tới những người dùng cư trú ở Ấn độ, Indonesia, Brazil, Việt Nam và Phipippines.

Điểm đặc biệt là hiện nay tại Việt Nam cũng có một tổ chức hoạt động dưới cái tên GhostTeam

Điểm đặc biệt là hiện nay tại Việt Nam cũng có một tổ chức hoạt động dưới cái tên GhostTeam, được thành lập từ năm 2014 và giờ đã đi vào hoạt động ngầm. Hiện vẫn chưa thể xác định liệu nhóm này có phải là tác giả thiết kế ra mã độc GhostTeam hay không.

Những ứng dụng phần mềm độc hại này được phép phát tán trên ứng dụng Google Play bởi chúng không chứa bất kỳ đoạn mã độc hại nào. Sau khi cài đặt, những ứng dụng này sẽ kiểm tra môi trường thiết bị nếu không phải là các môi trường ảo hoặc các môi trường mô phỏng thì ứng dụng sẽ tải về các mô đun độc hại. Khi đó, chúng sẽ đưa ra một thông báo nhắc người dùng phê duyệt quyền quản trị để ứng dụng có thể lưu trú lâu dài trên thiết bị.

Dòng mã độc này bao gồm có ít nhất 56 ứng dụng trên Google Play

Mã độc đánh cắp dữ liệu đăng nhập Facebook của người dùng như thế nào?

Những mã độc này không khai thác bất kỳ lỗ hổng hệ thống hoặc ứng dụng nào, chúng chỉ cần sử dụng một chương trình phishing đơn giản để ăn cắp thông tin đăng nhập của người dùng. Mỗi khi người dùng mở ứng dụng Facebook, những mã độc này sẽ khởi chạy một thành phần WebView với trang đăng nhập giống Facebook và yêu cầu người dùng xác minh lại tài khoản Facebook bằng cách đăng nhập lại vào Facebook. Sau khi lấy được thông tin đăng nhập của người dùng, WebView sẽ gứi chúng tới máy chủ điều khiển của tin tặc.

Các tin tặc có thể sử dụng những thông tin bị đánh cắp này để phát tán mã độc nguy hiểm, tạo ra phần mềm độc hại khai thác tiền ảo hoặc bán chúng trong các chợ đen bởi tài khoản Facebook bị đánh cắp có thể tiết lộ nhiều thông tin về tài chính, cá nhân của người dùng.

Google đã gỡ bỏ toàn bỏ ứng dụng khỏi Google Play

Google đã gỡ bỏ toàn bỏ ứng dụng khỏi Google Play ngay khi nhận được thông báo. Nhưng để đảm bảo an toàn người dùng cần rà soát lại thiết bị và gỡ bỏ những ứng dụng không rõ nguồn gốc, có thể bật tính năng Google Play Protect để lọc những ứng dụng độc hại. Ngoài ra, người dùng cần chú ý để tránh tải ứng dụng từ những nơi không rõ nguồn gốc và từ những nhà phát triển không có uy tín. Bên cạnh đó, việc cài các chương trình Anti-virus là rất cần thiết để tăng cường bảo mật trên thiết bị.

Xem thêm:

Thứ Sáu, 19/01/2018 11:26
31 👨 924
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng