Mã độc đánh cắp tài khoản Facebook lây nhiễm trên 300.000 thiết bị Android

04/06/2014
37
446 bài viết
Mã độc đánh cắp tài khoản Facebook lây nhiễm trên 300.000 thiết bị Android
Mã độc Android giả dạng các ứng dụng đọc sách đã được phát tán từ năm 2018, với mục tiêu đánh cắp thông tin đăng nhập tài khoản Facebook từ các thiết bị bị nhiễm.

Theo báo cáo mới của Zimperium, chiến dịch này đã lây nhiễm ít nhất 300.000 thiết bị trên 71 quốc gia, chủ yếu tập trung vào Việt Nam.

Các ứng dụng được sử dụng để phát tán trojan 'Schoolyard Bully', trước đây đã có trên Google Play nhưng hiện đã bị xóa.

android-trojan.jpg

Tuy nhiên, Zimperium cảnh báo rằng các ứng dụng này hiện vẫn được phân phối trên các cửa hàng ứng dụng Android của bên thứ ba.

Mã độc Schoolyard Bully giả dạng các ứng dụng giáo dục. Tuy nhiên, mục tiêu chính của 'phần mềm độc hại là đánh cắp thông tin đăng nhập tài khoản Facebook (email và mật khẩu), ID tài khoản, tên người dùng, tên thiết bị, RAM thiết bị và API thiết bị.

Trojan đánh cắp các chi tiết này bằng cách mở trang đăng nhập Facebook hợp pháp bên trong ứng dụng bằng WebView và tiêm JavaScript độc hại để trích xuất thông tin do người dùng nhập vào.

Zimperium giải thích: "Javascript được đưa vào WebView bằng phương thức 'evaluateJavascript'".

"Mã javascript trích xuất giá trị của các thành phần có 'ids m_login_email' và 'm_login_password', là các vị trí cho số điện thoại, địa chỉ email và mật khẩu".

Hơn nữa, phần mềm độc hại sử dụng các thư viện gốc để ẩn mình trước các phần mềm bảo mật và các công cụ phân tích.

Zimperium cho biết hãng đã phát hiện phần mềm độc hại này trên 300.000 nạn nhân ở 71 quốc gia dựa trên dữ liệu đo từ xa.

Ngoài ra, do 37 ứng dụng trong chiến dịch này được phân phối qua các cửa hàng ứng dụng của bên thứ ba, số lượng nạn nhân có thể cao hơn vì không có cách đo lường chính xác số lượng nạn nhân trên các nền tảng này.

Zimperium cũng cảnh báo rằng có thể có nhiều ứng dụng hơn ngoài những ứng dụng mà các nhà nghiên cứu đã phát hiện.

Các nguy cơ từ trojan Schoolyard Bully vẫn chưa được chỉ rõ, tuy nhiên các nhà phân tích khẳng định phần mềm độc hại này không liên quan đến hoạt động FlyTrap, một chiến dịch có cùng mục tiêu đánh cắp tài khoản Facebook, chủ yếu ở Việt Nam.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
android
Bên trên