Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc giả dạng Google Play lấy cắp thông tin ngân hàng
FireEye và Google vừa triệt phá một phần chiến dịch sử dụng malware giả dạng ứng dụng Google Play để lấy cắp thông tin ngân hàng của người dùng Android.
Mã độc Google App Stoy đã lây nhiễm ít nhất 200 nạn nhân trong vòng 30 ngày qua và dường như nhắm tới đối tượng là người dùng nói tiếng Hàn. Cho đến nay, mới chỉ 3 trong số 51 chương trình diệt virus có thể phát hiện mã độc do Google App Stoy được mã hóa ẩn sau giao diện người dùng.
Nguồn ảnh: FireEye
Ứng dụng giả mạo sử dụng biểu tượng (icon) giống như của Google Play và hiện ngay trên màn hình thiết bị nhằm đánh lừa người dùng click vào nó thay vì Google Play chính thống. Sau khi được kích hoạt, mã độc sẽ lấy cắp thông tin người dùng bao gồm tin nhắn, chứng thực số giao dịch và mật khẩu ngân hàng trực tuyến từ thiết bị.
Google App Stoy có khả năng “chống gỡ bỏ”. Ngay cả khi người dùng đã loại bỏ (kill) ứng dụng trên trình quản lý ứng dụng điện thoại (back-end), mã độc vẫn “sống lại” khi thiết bị Android được khởi động lại.
Google App Stoy sử dụng giao thức Gmail SSL đã được mã hóa để tránh bị phát hiện.Các chuyên gia FireEye cho biết, việc Gmail sử dụng giao thức SSL có thể tạo cơ hội cho hacker lẩn trốn trước các phương pháp phát hiện thông thường. FireEye đã kết hợp với Google để gỡ bỏ các tài khoản Gmail mà tin tặc sử dụng để gửi các thông tin lấy cắp của người dùng. Tuy nhiên, hacker vẫn còn server trực tuyến HTTP và có thể đổi tài khoản Gmail để tung ra mã độc mới.
Hiện cách thức nạn nhân đầu tiên bị lây nhiễm mã độc vẫn chưa rõ. Chuyên gia của FireEye cho biết hãng có được mẫu malware này từ một khách hàng nhưng chưa có thông tin nào về việc người dùng này đã bị dụ tải ứng dụng độc hại như thế nào. Tuy nhiên, việc malware có icon giống hệt ứng dụng Google Play chính thống rất dễ khiến cho người sử dụng bị lừa, đặc biệt là khi người dùng đang bận rộn hoặc không thực sự để tâm đến ứng dụng mình vừa mở. “Đôi khi, ứng dụng giả mạo và chính thống lại không xuất hiện trên cùng một trang màn hình, khiến cho khả năng ứng dụng giả mạo được mở sẽ cao hơn,” FireEye cho biết.
Mã độc Google App Stoy đã lây nhiễm ít nhất 200 nạn nhân trong vòng 30 ngày qua và dường như nhắm tới đối tượng là người dùng nói tiếng Hàn. Cho đến nay, mới chỉ 3 trong số 51 chương trình diệt virus có thể phát hiện mã độc do Google App Stoy được mã hóa ẩn sau giao diện người dùng.
Nguồn ảnh: FireEye
Ứng dụng giả mạo sử dụng biểu tượng (icon) giống như của Google Play và hiện ngay trên màn hình thiết bị nhằm đánh lừa người dùng click vào nó thay vì Google Play chính thống. Sau khi được kích hoạt, mã độc sẽ lấy cắp thông tin người dùng bao gồm tin nhắn, chứng thực số giao dịch và mật khẩu ngân hàng trực tuyến từ thiết bị.
Google App Stoy có khả năng “chống gỡ bỏ”. Ngay cả khi người dùng đã loại bỏ (kill) ứng dụng trên trình quản lý ứng dụng điện thoại (back-end), mã độc vẫn “sống lại” khi thiết bị Android được khởi động lại.
Google App Stoy sử dụng giao thức Gmail SSL đã được mã hóa để tránh bị phát hiện.Các chuyên gia FireEye cho biết, việc Gmail sử dụng giao thức SSL có thể tạo cơ hội cho hacker lẩn trốn trước các phương pháp phát hiện thông thường. FireEye đã kết hợp với Google để gỡ bỏ các tài khoản Gmail mà tin tặc sử dụng để gửi các thông tin lấy cắp của người dùng. Tuy nhiên, hacker vẫn còn server trực tuyến HTTP và có thể đổi tài khoản Gmail để tung ra mã độc mới.
Hiện cách thức nạn nhân đầu tiên bị lây nhiễm mã độc vẫn chưa rõ. Chuyên gia của FireEye cho biết hãng có được mẫu malware này từ một khách hàng nhưng chưa có thông tin nào về việc người dùng này đã bị dụ tải ứng dụng độc hại như thế nào. Tuy nhiên, việc malware có icon giống hệt ứng dụng Google Play chính thống rất dễ khiến cho người sử dụng bị lừa, đặc biệt là khi người dùng đang bận rộn hoặc không thực sự để tâm đến ứng dụng mình vừa mở. “Đôi khi, ứng dụng giả mạo và chính thống lại không xuất hiện trên cùng một trang màn hình, khiến cho khả năng ứng dụng giả mạo được mở sẽ cao hơn,” FireEye cho biết.
Nguồn: Darkreading
Chỉnh sửa lần cuối bởi người điều hành: