Phát hiện 3 ứng dụng giả mạo YouTube quay lén và đánh cắp thông tin người dùng

Mới đây, các nhà nghiên cứu tại SentinelLabs đã phát hiện 3 ứng dụng độc hại giả mạo YouTube được thiết kế để quay lén người tiêu dùng, thu thập một lượng dữ liệu đáng kinh ngạc.

Đóng vai trò quan trọng trong việc phát tán 3 ứng dụng YouTube giả mạo này là một nhóm tội phạm mạng có tên là Transparent Tribe (APT36).

Hai trong số các ứng dụng độc hại này được gọi là YouTube và ứng dụng thứ ba được đặt tên là Piya Sharma. 3 ứng dụng YouTube giả mạo được Transparent Tribe (APT36) phát tán trên nền tảng mạng xã hội và trang web giả mạo.

Giao diện của ứng dụng YouTube giả mạo. Ảnh: SentinelLabs
Giao diện của ứng dụng YouTube giả mạo. Ảnh: SentinelLabs

Sau khi nạn nhân cài đặt, ứng dụng sẽ yêu cầu được cấp quyền truy cập micro, xem và gửi tin nhắn SMS…

Về cơ bản, bên trong 3 ứng dụng giả mạo YouTube là phần mềm độc hại CapraRAT, được thiết kế để đánh cắp thông tin cá nhân, dữ liệu GPS, ghi lại âm thanh, nhật ký cuộc gọi, tin nhắn văn bản, chụp ảnh màn hình, quay lén và can thiệp vào hệ thống.

Sau khi thu thập được những thông tin cá nhân bị đánh cắp, kẻ gian sẽ sử dụng chúng để thực hiện tiếp các chiến dịch lừa đảo khác hoặc bán lại cho các bên thứ ba.

SentinelLabs khuyến cáo người dùng chỉ nên tải xuống ứng dụng từ các nguồn đáng tin cậy như cửa hàng Google Play và đọc kỹ những quyền hạn mà ứng dụng yêu cầu, để tránh trở thành mục tiêu của những ứng dụng giả mạo. Ngoài ra, nếu cảm thấy các yêu cầu của ứng dụng vô lý, hãy ngừng ngay việc cài đặt.

Đây là ứng dụng độc hại nghe lén người dùng, hãy kiểm tra điện thoại và gỡ ngay

Các nhà nghiên cứu tại Lab52 đã phát hiện phần mềm độc hại Process Manager có khả năng ghi lại âm thanh, theo dõi vị trí của người dùng.

Ứng dụng này ẩn giấu bên trong một số ứng dụng trên Google Play, sau khi được cài đặt sẽ cố gắng ẩn mình trên thiết bị của nạn nhân bằng biểu tượng hình bánh răng khiến người dùng lầm tưởng rằng đây một phần của hệ thống.

Theo Lab52, mã độc này trước đó có liên kết với Turla, nhóm hacker nổi tiếng được cho là được nhà nước Nga hỗ trợ. Nhóm này chuyên sử dụng phần mềm độc hại tùy chỉnh để nhắm mục tiêu vào các hệ thống của châu Âu và Mỹ, chủ yếu là các hoạt động gián điệp.

Phần mềm độc hại chạy nền trên điện thoại. Ảnh: Lab52.
Phần mềm độc hại chạy nền trên điện thoại. Ảnh: Lab52.
Sau được cài đặt và cấp quyền hệ thống, ứng dụng sẽ đánh cắp dữ liệu của nạn nhân, nghe lén và theo dõi vị trí của người dùng.
Sau được cài đặt và cấp quyền hệ thống, ứng dụng sẽ đánh cắp dữ liệu của nạn nhân, nghe lén và theo dõi vị trí của người dùng.

Trong lần khởi chạy đầu tiên, ứng dụng độc hại này sẽ đòi quyền truy cập vào vị trí, trạng thái mạng, máy ảnh, danh bạ, bộ nhớ ngoài, nhật ký cuộc gọi, Foreground service, tin nhắn, ghi âm... để thu thập vị trí của thiết bị, gửi và đọc văn bản, truy cập bộ nhớ, chụp ảnh/quay phim bằng camera và ghi âm.

Sau khi được cấp quyền các quyền trên, phần mềm gián điệp này sẽ xóa biểu tượng khỏi màn hình và âm thầm chạy trong nền khiến người dùng rất khó phát hiện.

Phần mềm độc hại này được phát hiện ẩn giấu trong ứng dụng Roz Dhan: Earn Wallet cash trên Google Play Store.
Phần mềm độc hại này được phát hiện ẩn giấu trong ứng dụng Roz Dhan: Earn Wallet cash trên Google Play Store.

Nếu đã lỡ cài đặt, người dùng hãy gỡ bỏ ngay ứng dụng này bằng cách truy cập vào Settings (Cài đặt) -> Apps (Ứng dụng) -> Manage apps (Quản lý ứng dụng), tìm tên ứng dụng độc hại -> nhấn Uninstall (Gỡ cài đặt).

Thứ Tư, 27/09/2023 14:33
34 👨 1.533
0 Bình luận
Sắp xếp theo
    ❖ Chuyện công nghệ