Ứng dụng AI trên Microsoft Store bị tố bí mật ghi âm và đánh cắp dữ liệu người dùng

[WhiteHat Team]

Một ứng dụng có tên Vibing.exe vừa bị gỡ khỏi Microsoft Store sau khi bị phát hiện thu thập dữ liệu người dùng trái phép. Dù được giới thiệu là công cụ AI hỗ trợ năng suất, ứng dụng này thực chất hoạt động như một phần mềm giám sát ngay từ khi hệ thống khởi động.
​

Theo các nhà nghiên cứu, sau khi cài đặt, Vibing.exe tự động khởi chạy cùng Windows và và âm thầm chạy trên hệ thống mà không có cảnh báo rõ ràng. Trong quá trình này, ứng dụng triển khai nhiều cơ chế thu thập dữ liệu nhạy cảm như chụp ảnh màn hình theo chu kỳ, theo dõi clipboard để ghi nhận nội dung sao chép, bao gồm cả mật khẩu hoặc thông tin nội bộ, đồng thời kích hoạt microphone để ghi âm môi trường xung quanh.

Dữ liệu thu thập không được gửi đi trực tiếp. Thay vào đó, chúng được mã hóa dưới dạng base64, gắn kèm mã định danh phần cứng (GUID) rồi chuyển về máy chủ từ xa. Cách làm này giúp phía vận hành có thể theo dõi từng thiết bị trong thời gian dài và dần dựng lên hồ sơ hành vi của người dùng. Không dừng lại ở đó, ứng dụng còn ghi nhận tiêu đề các cửa sổ đang mở và một số từ khóa định sẵn, cho thấy nó có khả năng lọc ra những nội dung nhạy cảm thay vì chỉ thu thập dữ liệu một cách ngẫu nhiên.

Để âm thầm truyền dữ liệu ra ngoài, Vibing.exe sử dụng kết nối WebSocket, qua đó dễ dàng vượt qua nhiều cơ chế giám sát và lọc proxy truyền thống. Lưu lượng được chuyển tới endpoint vibing-api-ccegdhbrg2d6bsd7.b02.azurefd.net trên hạ tầng cloud, cho phép ẩn mình giữa các kết nối hợp lệ và làm giảm đáng kể khả năng bị phát hiện. Đồng thời, ứng dụng còn thu thập thông tin ngữ cảnh như tiêu đề cửa sổ và các từ khóa định sẵn, làm gia tăng nguy cơ lộ lọt dữ liệu nhạy cảm.

Một chi tiết đáng chú ý khác do nhà nghiên cứu bảo mật Kevin Beaumont tiết lộ là nguồn gốc thực sự của phần mềm này. Mặc dù tuyên bố được phát triển bởi một nhóm ẩn danh mang tên "Vibing-Team", ứng dụng lại được ký số bởi Yaoyao Chang, một nhà nghiên cứu thuộc phòng thí nghiệm GenAI của Microsoft tại Bắc Kinh. Các điều tra dựa trên công cụ tình báo nguồn mở (OSINT) cho thấy dữ liệu bị đánh cắp đã được chuyển hướng về một phân vùng Microsoft Azure thuộc quyền sở hữu của chính Microsoft. Dự án này từng được giới thiệu là sáng kiến mã nguồn mở trên GitHub với tên gọi "VibeVoice", nhưng kho lưu trữ lại không hề có mã nguồn mà chỉ chứa một tệp thực thi dung lượng 80MB, cho thấy đây không đơn thuần là một ứng dụng thông thường mà có dấu hiệu của một công cụ thu thập dữ liệu có chủ đích.
​

Phần mô tả giới thiệu dự án này là “mã nguồn mở” (theo Medium)
​

Microsoft đã gỡ bỏ ứng dụng và vô hiệu hóa toàn bộ hạ tầng liên quan từ ngày 24/4/2026, đồng thời mở điều tra nội bộ để làm rõ cách phần mềm này có thể vượt qua quy trình kiểm duyệt. Tuy nhiên, với các hệ thống đã từng cài đặt, dữ liệu có thể đã bị thu thập và rò rỉ ra ngoài.
​

Các chuyên gia khuyến nghị các đội vận hành chủ động rà soát hệ thống, đặc biệt là sự xuất hiện của các tệp như vibing.exe hoặc Vibing Installer.exe. Đồng thời, cần kiểm tra các cơ chế tự khởi động và theo dõi các kết nối ra ngoài tới domain liên quan. Việc đối chiếu log từ các giải pháp giám sát cũng cần được ưu tiên, nhất là những hành vi bất thường như truy cập clipboard hoặc kích hoạt microphone, nhằm kịp thời phát hiện dấu hiệu xâm nhập.

Theo Cyber Press​