Mã độc Android được cho là phát tán từ Việt Nam đã tấn công hơn 10.000 tài khoản Facebook trên 140 quốc gia
Công ty bảo mật Zimperium đã phát hiện ra một chiến dịch lây lan mã độc thông qua việc chiếm quyền điều khiển trên mạng xã hội, các cửa hàng ứng dụng của bên thứ ba và các ứng dụng được cài đặt bên ngoài.
Một loại Trojan Android mới đã được xác định bởi công ty an ninh mạng Zimperium, phần mềm độc hại này có thể đã tấn công hơn 10.000 nạn nhân ở 144 quốc gia.
Trojan – được các nhà nghiên cứu Zimperium đặt tên là FlyTrap – đã có thể lây lan thông qua “hoạt động chiếm quyền điều khiển mạng xã hội, cửa hàng ứng dụng của bên thứ ba và ứng dụng cài từ bên ngoài” kể từ tháng 3.
Các nhóm nghiên cứu mối đe dọa di động zLabs của Zimperium lần đầu tiên xác định phần mềm chứa mã độc hại và phát hiện ra rằng nó sử dụng các thủ thuật liên kết xã hội để xâm nhập tài khoản Facebook.
Phần mềm độc hại này chiếm đoạt các tài khoản mạng xã hội bằng cách lây nhiễm vào các thiết bị Android, cho phép những kẻ tấn công thu thập thông tin từ nạn nhân như ID Facebook, vị trí, địa chỉ email và địa chỉ IP, cũng như cookie và mã thông báo liên kết với tài khoản Facebook.
Video đang HOT
Bản đồ phân phối trojan FlyTrap
Hoạt động của FlyTrap, đúng như cái tên “Hoa bẫy ruồi”, là dựa trên sự tò mò và thích “miễn phí” của người dùng rồi dụ dỗ họ.
Các nhà nghiên cứu Zimperium viết: “Các Facebook bị tấn công này có thể được sử dụng để phát tán phần mềm độc hại bằng cách lạm dụng uy tín xã hội của nạn nhân thông qua tin nhắn cá nhân có liên kết đến Trojan, cũng như tuyên truyền các chiến dịch hoặc thông tin sai lệch bằng cách sử dụng chi tiết vị trí địa lý của nạn nhân”.
“Các kỹ thuật xã hội này có hiệu quả cao trong thế giới được kết nối kỹ thuật số và thường được tội phạm mạng sử dụng để phát tán phần mềm độc hại từ nạn nhân này sang nạn nhân khác. Những kẻ xấu đã sử dụng một số chủ đề mà người dùng thấy hấp dẫn như mã voucher dùng Netflix miễn phí, mã phiếu giảm giá Google AdWord và những trò chơi bình chọn cho đội bóng hoặc cầu thủ xuất sắc nhất”.
Tất nhiên, không có mã hoặc voucher Netflix hay AdWords miễn phí nào và không có cuộc bỏ phiếu ủng hộ bóng đá nào được thực hiện. Thay vào đó, các ứng dụng độc hại chỉ chực chờ để lấy thông tin đăng nhập của Facebook khi họ muốn đăng nhập để lấy khuyến mãi. Chúng sẽ thực hiện một nỗ lực cuối cùng để trông có vẻ hợp pháp bằng cách tung ra một thông báo nói rằng phiếu giảm giá hoặc mã đã hết hạn, như trong ảnh chụp màn hình bên dưới.
Các nhà nghiên cứu đã cho rằng phần mềm độc hại này đến từ các nhóm hacker đang hoạt động tại Việt Nam và cho biết những người này có thể phân phối trojan bằng Google Play và các cửa hàng ứng dụng khác.
Đây là các ứng dụng chứa trojan:
GG Voucher (com.luxcarad.cardid)
Vote European Football (com.gardenguides.plantingfree)
GG Coupon Ads (com.free_coupon.gg_free_coupon)
GG Voucher Ads (com.m_application.app_moi_6)
GG Voucher (com.free.voucher)
Chatfuel (com.ynsuper.chatfuel)
Net Coupon (com.free_coupon.net_coupon)
Net Coupon (com.movie.net_coupon)
EURO 2021 Official (com.euro2021)
Google đã được gửi một báo cáo về phần mềm độc hại, đã xác minh nó và xóa tất cả các ứng dụng có liên quan trong cửa hàng, nhưng báo cáo lưu ý rằng ba trong số các ứng dụng vẫn có sẵn trên “kho ứng dụng của bên thứ ba, không an toàn.”
9 ứng dụng Android đang ăn cắp tài khoản Facebook của người dùng
Có tổng cộng 9 ứng dụng, với gần 7 triệu lượt tải về trên Play Store được tạo ra với mục đích đánh cắp tài khoản Facebook của người dùng.
Google vừa xóa 9 ứng dụng Android khỏi Play Store, sau báo cáo từ các nhà nghiên cứu bảo mật cho thấy chúng được sử dụng để lừa người dùng và đánh cắp tài khoản Facebook.
Theo công ty bảo mật Dr. Web, các ứng dụng này đều được thiết kế với tính năng hoàn chỉnh, sử dụng được như chỉnh ảnh, xóa file thừa hay hướng dẫn tập luyện. Các app này đều chạy quảng cáo, và để tắt quảng cáo thì người dùng phải đăng nhập tài khoản Facebook. Đây là cách khiến người dùng mất cảnh giác, tin tưởng vào ứng dụng hơn.
Danh sách 9 ứng dụng lấy tài khoản Facebook của người dùng.
Sau khi người dùng nhập thông tin tài khoản Facebook, ứng dụng sẽ chuyển cả tên, mật khẩu và cookie từ phiên đăng nhập vừa xong tới hacker. Bài phân tích của Dr. Web cho rằng với cách làm này, những hacker có thể lấy cắp tài khoản bất cứ dịch vụ nào của người dùng, miễn là họ đưa ra lựa chọn đó để tắt quảng cáo.
Trong đó, ứng dụng phổ biến nhất là PIP Photo đã được tải về 5,8 triệu lần. Các ứng dụng còn lại cũng có tổng lượt tải khoảng gần 1 triệu lần.
Theo Ars Technica , toàn bộ 9 ứng dụng trên đã bị xóa khỏi Play Store. Đại diện của Google cũng cho biết công ty này đã cấm nhà phát triển đứng sau các ứng dụng tải thêm app mới lên kho. Tuy nhiên, chính sách kiểm duyệt ứng dụng và nhà phát triển của Google đang bị đánh giá là quá dễ dãi. Nhà phát triển chỉ cần đăng ký một tài khoản với mức phí là 25 USD.
Để tránh tình trạng tải phải ứng dụng giả mạo từ nguồn ngoài hoặc từ chính Play Store, Ars Technica cho rằng người dùng nên có thêm một ứng dụng bảo mật như Malwarebytes.
Bị hack Facebook, người dùng phải mua kính Oculus để được hỗ trợ Không thể liên hệ Facebook để mở khóa tài khoản, một số người chọn cách đi đường vòng khi mua kính thực tế ảo Oculus với giá 300 USD rồi gọi cho bộ phận chăm sóc khách hàng. Chia sẻ với NPR, Angela McNamara sống tại Toronto (Canada) cho biết cô bị hack Facebook mà không thể phục hồi. Do bộ phận chăm...