Phát hiện smartphone Android giá rẻ chứa mã độc đánh cắp tiền
Những chiếc smartphone này có chứa mã độc Triada và xHelper, chúng sẽ lặng lẽ tải xuống các ứng dụng và đăng ký các dịch vụ trả phí mà người dùng không hề hay biết.
BuzzFeed News dẫn nguồn tin từ hãng bảo mật Secure-D mới đây cho biết, một số mẫu điện thoại Android giá rẻ hiện đang được bán ở nhiều thị trường trên thế giới có chứa mã độc nhằm mục đích đánh cắp tiền của người dùng.
Một số mẫu điện thoại Android giá rẻ của Tecno có chứa mã độc nhằm mục đích đánh cắp tiền của người dùng.
Cụ thể, những chiếc smartphone này có chứa mã độc Triada và xHelper, chúng sẽ lặng lẽ tải xuống các ứng dụng và đăng ký các dịch vụ trả phí. Điều này khiến người dùng sẽ bị mất tiền và dữ liệu dù không thực hiện bất cứ thao tác nào.
Nhà phân tích Nathan Collier đến từ hãng bảo mật Malwarebytes cho biết, Triada và xHelper là 2 mã độc đặc biệt nguy hiểm vì mức độ ‘ranh mãnh’. Ngay cả khi phát hiện, người dùng cũng không thể xóa chúng khỏi điện thoại ngay cả khi đặt lại cài đặt gốc.
Hai lại mã độc nguy hiểm này đã được cài cắm trên Tecno W2, một dòng smartphone Android giá rẻ đang được bán chủ yếu ở các nước Châu Phi như Ai Cập, Ghana, Nam Phi. Bên cạnh đó, thiết bị cũng được bán ở cả Indonesia và Myanmar.
Những chiếc smartphone này có chứa mã độc Triada và xHelper, chúng sẽ lặng lẽ tải xuống các ứng dụng và đăng ký các dịch vụ trả phí mà người dùng không hề hay biết.
Video đang HOT
Theo Mxolosi – một người đàn ông 41 tuổi đang thất nghiệp ở Johannesburg, Nam Phi – chia sẻ với BuzzFeed News, anh đã bị thu hút bởi vẻ ngoài và loạt tính năng của Tecno W2.
Và điều khiến anh xuống tiền mua chiếc điện thoại này là nó có giá chỉ khoảng 30 USD, rẻ hơn đáng kể so với những chiếc smartphone từ Samsung, Nokia, Huawei hay những thương hiệu hàng đầu khác tại Châu Phi.
“Nó rất hấp dẫn và lôi cuốn ánh nhìn của bạn. Thành thật mà nói, tôi là một fan hâm mộ của Samsung nhưng khi nhìn thấy nó, tôi đã nói rằng ‘Hãy cho tôi xem thử chiếc điện thoại mới này’, Mxolosi, người yêu cầu được dấu họ của mình để đảm bảo an toàn cá nhân, chia sẻ với BuzzFeed News.
Tecno W2 thuộc sở hữu của Transsion, công ty Trung Quốc đang bán ra các dòng điện thoại với tên gọi Tecno cùng những mẫu điện thoại thông minh giá rẻ khác.
Kể từ khi phát hành mẫu điện thoại thông minh đầu tiên vào năm 2014, thương hiệu mới nổi này đã phát triển thần tốc và trở thành nhà bán lẻ thiết bị cầm tay hàng đầu châu Phi, đánh bật các thương hiệu lâu năm như Samsung và Nokia.
Quay trở lại với Mxolosi, sau khi mua được chiếc điện thoại yêu thích với mức giá phải chăng, người đàn ông 41 tuổi này đã phải nếm trải những điều không mong muốn.
Mxolosi cho biết, quảng cáo đã liên tục xuất hiện, thậm chí làm gián đoạn cuộc gọi của ông. Điều đáng nói, một ngày sau khi thức dậy, Mxolosi đã phát hiện cước trả trước điện thoại của mình đã bị trừ sạch, thay vào đó là loạt tin nhắn với nội dung trả phí cho các ứng dụng mà Mxolosi chưa bao giờ đăng ký.
Công ty mẹ của thương hiệu Tecno tại Trung Quốc cho biết, mã độc có thể đã bị cài vào máy thông qua một nhà cung cấp ít tên tuổi trong chuỗi cung ứng.
Về phía Transsion, công ty mẹ của thương hiệu Tecno tại Trung Quốc cho biết, mã độc có thể đã bị cài vào máy thông qua một nhà cung cấp ít tên tuổi trong chuỗi cung ứng.
Transsion cho biết đã cung cấp các bản vá lỗi cho Triada (vào tháng 3/2018) và xHelper (vào cuối năm 2019). Tuy nhiên vấn đề dường như vẫn chưa được giải quyết.
Secure-D, công ty bảo mật đang sở hữu hệ thống mà các nhà cung cấp dịch vụ di động sử dụng để bảo vệ mạng lưới và khách hàng của họ trước các giao dịch gian lận, cho biết đã chặn đứng 844.000 giao dịch được kết nối với phần mềm độc hại được cài đặt sẵn trên điện thoại Transsion từ tháng 3 đến tháng 12 năm 2019.
Trước đó, Secure-D đã phát hiện phần mềm độc hại được cài đặt sẵn trên điện thoại Alcatel do TCL Communication, một thương hiệu điện thoại của Trung Quốc, sản xuất tại Brazil, Malaysia và Nigeria.
Cảnh báo mã độc Android đánh cắp mật khẩu ngân hàng, thông tin nhạy cảm
Bằng cách nguỵ trang dưới các ứng dụng giả dạng Adobe Flash, Microsoft Word,... mã độc EventBot có thể đánh cắp mật khẩu ngân hàng và thông tin nhạy cảm của người dùng Android.
Mới đây, công ty bảo mật Cybereason đã phát hiện ra loại malware nguy hiểm trên nền tảng Android có tên là EventBot. Mã độc này có khả năng nhắm tới 200 ứng dụng tài chính khác nhau gồm các phần mềm ngân hàng, dịch vụ chuyển tiền, ví điện tử được mã hóa như Paypal Business, Revolut, Barclays, CapitalOne, HSBC, Santander, TransferWise,... và Coinbase.
Mã độc EventBot ngụy trang dưới danh nghĩa các phần mềm nổi tiếng như Adobe Flash, Microsoft Word,... giả mạo.
"Mã độc mới này rất có tiềm năng để trở thành một phiên bản phần mềm độc hại nguy hiểm hơn trên di động nếu được cải tiến liên tục. Chúng có thể khai thác các tính năng trọng yếu trên hệ điều hành và nhắm vào ứng dụng tài chính", nhóm nghiên cứu tại Cybereason cho hay.
Chiến dịch tấn công bằng mã độc EventBot được phát hiện lần đầu vào tháng 3/2020. Mã độc này ngụy trang dưới danh nghĩa các phần mềm nổi tiếng như Adobe Flash, Microsoft Word,... giả mạo, và có mặt trên các gian hàng ứng dụng cho Android giả mạo hoặc các website không minh bạch.
Mã độc EventBot có thể khai khác dịch vụ trợ năng của Android để thu thập mã khóa màn hình.
Sau khi cài đặt, mã độc sẽ yêu cầu thêm các quyền truy cập trên thiết bị, bao gồm: truy cập vào phần Cài đặt, đọc nội dung trên thẻ nhớ ngoài, gửi và nhận tin nhắn SMS, chạy nền, tự khởi chạy sau khi hệ thống được khởi động lại.
Nếu người dùng vô ý cấp các phân quyền theo yêu cầu này của mã độc, EventBot sẽ bắt đầu ghi lại các tổ hợp phím do người dùng thao tác trên màn hình, thu thập thông báo khi có ứng dụng khác được cài đặt và xem nội dung từ ứng dụng đang mở trên màn hình.
Đáng chú ý, EventBot còn có thể khai khác dịch vụ trợ năng của Android để thu thập mã khóa màn hình, sau đó chuyển toàn bộ dữ liệu thu thập được dưới dạng đã mã hóa tới máy chủ do hacker kiểm soát.
Khả năng phân tích tin nhắn SMS (tin nhắn văn bản) giúp mã độc này có thể vượt qua các bước bảo mật hai lớp sử dụng SMS.
Ngoài ra, khả năng phân tích tin nhắn SMS (tin nhắn văn bản) giúp mã độc này có thể vượt qua các bước bảo mật hai lớp sử dụng SMS, giúp tin tặc truy cập vào ví tiền điện tử và đánh cắp tài khoản trong ngân hàng của nạn nhân một cách dễ dàng.
Những ứng dụng chứa mã độc EventBot hiện chưa được phát hiện trên Play Store chính chủ của Google, do đó các nhà nghiên cứu một lần nữa khuyến cáo người dùng chỉ nên cài đặt ứng dụng từ các kho phần mềm Play Store chính thức, tránh tải và cài đặt ứng dụng từ các nguồn không đáng tin cậy.
Mã độc 'núp bóng' ứng dụng tối ưu smartphone Android Nhiều ứng dụng Android trên Google Play được quảng cáo là có khả năng tối ưu hóa hiệu suất smartphone nhưng thực chất chứa phần mềm độc hại. Những phần mềm có tên gọi như Speed Clean, Rocket Cleaner, Super Clean, Phone Booster hay CPU Cooler thu hút hàng trăm nghìn lượt tải trên chợ ứng dụng của Google. Thống kê của Trend...