Một phần mềm đánh cắp tài khoản Facebook trên điện thoại vừa bị phát hiện được phát triển bởi hacker Việt Nam

Mới đây, chuyên gia bảo mật đã phát hiện ra một dòng mã độc mới có tên gọi là GhostTeam, bao gồm ít nhất 56 ứng dụng trên Google Play được thiết kế để đánh cắp thông tin đăng nhập Facebook và hiện thị quảng cáo trên thiết bị người dùng. Các công ty bảo mật tin rằng GhostTeam đã được phát triển và tải lên Play Store bởi một nhà phát triển Việt Nam do có sử dụng tiếng Việt trong mã. Theo các nhà nghiên cứu, hầu hết người dùng bị ảnh hưởng bởi phần mềm độc hại GhostTeam được báo cáo là cư trú ở Ấn độ, Indonesia, Brazil, Việt Nam và Phipippines.

Điểm đặc biệt là ở Việt Nam hiện nay cũng có một tổ chức hoạt động dưới cái tên GhostTeam, không biết liệu có phải mã độc được thiết kế do nhóm này hay không. Tổ chức này hoạt động từ thời năm 2014 và đến giờ đã đi vào hoạt động ngầm.

Được phát hiện bởi hai công ty bảo mật Trend Micro và Avast, những ứng dụng nguy hiểm này thường giả trang dưới các trình tiện ích khác nhau như đèn pin, máy quét mã QR, la bàn, làm tăng cường hiệu suất thiết bị, video downloader.

Giống như hầu hết các ứng dụng phần mềm độc hại khác, những ứng dụng này không chứa bất kỳ đoạn mã độc hại nào và đó chính là lý do khiến chúng được phép phát tán trên ứng dụng Google Play.

Sau khi cài đặt, những ứng dụng này sẽ kiểm tra mỗi trường thiết bị nếu không phải là các môi trường mô phỏng hoặc môi trường ảo thì ứng dụng sẽ tải về các mô đun độc hại – điều này sẽ đưa ra một thông báo nhắc người dùng phê duyệt quyền quản trị để ứng dụng có thể lưu trú lâu dài trên thiết bị.

Avast cho biết “Ứng dụng downloader thu thập thông tin về thiết bị chẳng hạn như ID, ví trí, ngôn ngữ và thông số hiển thị. Trong đó vị trí thiết bị được xác định thông qua địa chỉ IP”.

CÁCH THỨC MÃ ĐỘC ĐÁNH CẮP DỮ LIỆU ĐĂNG NHẬP FACEBOOK CỦA NGƯỜI DÙNG

Mỗi khi người dùng mở ứng dụng Facebook, mã độc sẽ ngay lập tức nhắc họ xác minh lại tài khoản Facebook bằng cách đăng nhập lại vào Facebook. Thay vì khai thác bất kỳ lỗ hổng hệ thống hoặc ứng dụng nào, phần mềm độc hại sử dụng một chương trình phishing đơn giản để hoàn thành công việc. Những ứng dụng giả mạo này chỉ cần khởi chạy một thành phần WebView với trang đăng nhập giống Facebook và yêu cầu người dùng đăng nhập. Sau khi đăng nhập thành công, WebView sẽ gửi thông tin đăng nhập của người dùng tới máy chủ điều khiển của tin tặc.

Các chuyên gia bảo mật TrendMicro cũng cảnh báo rằng những thông tin bị đánh cắp này có thể được sử dụng để phát tán mã độc nguy hiểm hoặc hoặc được sử dụng để truyền bá tin tức giả mạo hoặc tạo ra phần mềm độc hại khai thác tiền ảo. Ngoài ra, tài khoản Facebook bị đánh cắp có thể tiết lộ nhiều thông tin về tài chính, cá nhân của người dùng và có thể bị tin tặc bán chúng trong các chợ đen.

May mắn thay, sau khi nhận được thông báo Google đã gỡ bỏ toàn bỏ ứng dụng khỏi Google Play. Tuy nhiên, người dùng cần phải rà soát lại thiết bị và gỡ bỏ những ứng dụng không rõ nguồn gốc. Để đảm bảo an toàn, người dùng nền bật tính năng Google Play Protect – tính năng này mới được Google cung cấp có sử dụng học máy trong việc phân tích và đánh ra liệu một ứng dụng có phải là độc hại hay không. Mặc dù các ứng dụng độc hại vẫn trôi nổi trên các của hàng ứng dụng, do đó người dùng cần phải tránh tải ứng dụng từ những nơi không rõ nguồn gốc và thậm chí là từ những nhà phát triển không được đảm bảo, có uy tín. Ngoài ra, người dùng nên cài các chương trình Anti-virus để tăng cường bảo mật trên thiết bị.

Theo Tri Thức Trẻ