-
06/04/2022
-
23
-
41 bài viết
Ứng dụng Android độc hại cung cấp mã OTP cho các dịch vụ tạo tài khoản
Một ứng dụng Android SMS giả mạo với hơn 100.000 lượt tải xuống trên cửa hàng Google Play đã bị phát hiện đang bí mật cung cấp mã OTP cho các dịch vụ tạo tài khoản trên các trang web như Microsoft, Google, Instagram, Telegram và Facebook.
Một chuyên gia an ninh mạng cho biết các thiết bị bị nhiễm sau đó sẽ được thuê dưới dạng các "số ảo" nhằm chuyển tiếp mã OTP dùng để xác minh người dùng trong khi tạo tài khoản mới.
Mặc dù ứng dụng có điểm xếp hạng là 3.4/5 sao, nhưng nhiều bài đánh giá của người dùng phàn nàn rằng ứng dụng này là giả mạo, chiếm quyền điều khiển điện thoại của họ và tạo nhiều OTP (mật khẩu dùng một lần) khi cài đặt.
"Ứng dụng giả mạo! Tôi đã tải xuống ứng dụng này 4-5 lần bởi OTP của Google, Airtel, Ứng dụng ngân hàng, dream11, ... Loại OTP này luôn xuất hiện tại thời điểm đăng nhập" - một trong các bài đánh giá viết.
Symoo bị phát hiện bởi chuyên gia an ninh mạng Maxime Ingrao của Evina và đã được báo cáo nó với Google nhưng vẫn chưa nhận được phản hồi. Tại thời điểm viết bài, ứng dụng vẫn tồn tại trên Google Play.
Trên màn hình đầu tiên, nó yêu cầu người dùng cung cấp số điện thoại của họ, sau đó nó phủ lên một màn hình giả được cho là hiển thị tiến trình tải tài nguyên.
Tuy nhiên, quá trình này kéo dài, cho phép người điều hành từ xa gửi nhiều tin nhắn SMS 2FA (xác thực hai yếu tố) để tạo tài khoản trên các dịch vụ khác nhau, đọc nội dung của chúng và chuyển tiếp lại cho người điều hành.
Khi hoàn tất, ứng dụng sẽ đóng băng, không bao giờ đến được giao diện SMS đã hứa, vì vậy người dùng thường sẽ gỡ cài đặt ứng dụng này.
Vào thời điểm này, ứng dụng đã sử dụng số điện thoại của người dùng Android để tạo tài khoản giả trên nhiều nền tảng trực tuyến khác nhau và những người đánh giá nói rằng tin nhắn của họ hiện chứa đầy mật mã dùng một lần cho các tài khoản mà họ chưa từng tạo.
Ngoài ra, Maxime Ingrao đã phát hiện ra rằng ứng dụng Symoo lọc dữ liệu SMS sang một miền được sử dụng bởi một ứng dụng khác có tên là “Virtual Number”. Ứng dụng này cũng từng có trên Google Play nhưng đã bị xóa.
Nhà phát triển ứng dụng “Virtual Number” cũng đã tạo một ứng dụng khác trên Google Play có tên là “ActivationPW – Virtual Number”, đã được tải xuống 10.000 lần. Ứng dụng này cung cấp "Số điện thoại trực tuyến từ hơn 200 quốc gia" mà bạn có thể sử dụng để tạo tài khoản.
Sử dụng ứng dụng này, người dùng có thể "thuê" một số với giá dưới 50 xu và trong nhiều trường hợp, người dùng có thể sử dụng số đó để xác minh tài khoản.
Mặc dù chưa được xác nhận, người ta tin rằng ứng dụng Symoo được sử dụng để nhận và chuyển tiếp mã xác minh OTP được tạo khi mọi người tạo tài khoản bằng ActivationPW.
Nếu bạn đang sử dụng những ứng dụng này, bạn nên gỡ cài đặt chúng, vì chúng sẽ thực hiện sao chép nội dung SMS của bạn sang máy một chủ của riêng họ.
Chính sách bảo mật của ứng dụng cũng tiết lộ hành vi này, mặc dù nói rằng đó là để "chặn thư rác và dịch vụ sao lưu": "Chúng tôi lưu trữ sms như một phần của khối thư rác và các dịch vụ sao lưu với nền tảng bên thứ ba, nhà cung cấp dịch vụ lưu trữ đám mây hoặc viễn thông của chúng tôi. (Lưu ý rằng chúng tôi không chia sẻ các bản ghi này với bên thứ ba)" - một trong những chính sách quyền riêng tư của Symoo.
Một chuyên gia an ninh mạng cho biết các thiết bị bị nhiễm sau đó sẽ được thuê dưới dạng các "số ảo" nhằm chuyển tiếp mã OTP dùng để xác minh người dùng trong khi tạo tài khoản mới.
Mặc dù ứng dụng có điểm xếp hạng là 3.4/5 sao, nhưng nhiều bài đánh giá của người dùng phàn nàn rằng ứng dụng này là giả mạo, chiếm quyền điều khiển điện thoại của họ và tạo nhiều OTP (mật khẩu dùng một lần) khi cài đặt.
"Ứng dụng giả mạo! Tôi đã tải xuống ứng dụng này 4-5 lần bởi OTP của Google, Airtel, Ứng dụng ngân hàng, dream11, ... Loại OTP này luôn xuất hiện tại thời điểm đăng nhập" - một trong các bài đánh giá viết.
Symoo bị phát hiện bởi chuyên gia an ninh mạng Maxime Ingrao của Evina và đã được báo cáo nó với Google nhưng vẫn chưa nhận được phản hồi. Tại thời điểm viết bài, ứng dụng vẫn tồn tại trên Google Play.
Định tuyến mã 2FA
Sau khi cài đặt trên thiết bị, ứng dụng yêu cầu quyền truy cập để gửi và đọc SMS, điều này nghe có vẻ bình thường vì Symoo tự quảng cáo là một ứng dụng SMS "dễ sử dụng".Trên màn hình đầu tiên, nó yêu cầu người dùng cung cấp số điện thoại của họ, sau đó nó phủ lên một màn hình giả được cho là hiển thị tiến trình tải tài nguyên.
Tuy nhiên, quá trình này kéo dài, cho phép người điều hành từ xa gửi nhiều tin nhắn SMS 2FA (xác thực hai yếu tố) để tạo tài khoản trên các dịch vụ khác nhau, đọc nội dung của chúng và chuyển tiếp lại cho người điều hành.
Khi hoàn tất, ứng dụng sẽ đóng băng, không bao giờ đến được giao diện SMS đã hứa, vì vậy người dùng thường sẽ gỡ cài đặt ứng dụng này.
Vào thời điểm này, ứng dụng đã sử dụng số điện thoại của người dùng Android để tạo tài khoản giả trên nhiều nền tảng trực tuyến khác nhau và những người đánh giá nói rằng tin nhắn của họ hiện chứa đầy mật mã dùng một lần cho các tài khoản mà họ chưa từng tạo.
Bán tài khoản
Vì số điện thoại thường là cách khả thi duy nhất để xác minh tài khoản nên những người muốn tham gia vào các hoạt động bất hợp pháp hoặc ẩn danh sẽ thấy các tài khoản giả danh này hữu ích.Ngoài ra, Maxime Ingrao đã phát hiện ra rằng ứng dụng Symoo lọc dữ liệu SMS sang một miền được sử dụng bởi một ứng dụng khác có tên là “Virtual Number”. Ứng dụng này cũng từng có trên Google Play nhưng đã bị xóa.
Nhà phát triển ứng dụng “Virtual Number” cũng đã tạo một ứng dụng khác trên Google Play có tên là “ActivationPW – Virtual Number”, đã được tải xuống 10.000 lần. Ứng dụng này cung cấp "Số điện thoại trực tuyến từ hơn 200 quốc gia" mà bạn có thể sử dụng để tạo tài khoản.
Sử dụng ứng dụng này, người dùng có thể "thuê" một số với giá dưới 50 xu và trong nhiều trường hợp, người dùng có thể sử dụng số đó để xác minh tài khoản.
Mặc dù chưa được xác nhận, người ta tin rằng ứng dụng Symoo được sử dụng để nhận và chuyển tiếp mã xác minh OTP được tạo khi mọi người tạo tài khoản bằng ActivationPW.
Nếu bạn đang sử dụng những ứng dụng này, bạn nên gỡ cài đặt chúng, vì chúng sẽ thực hiện sao chép nội dung SMS của bạn sang máy một chủ của riêng họ.
Chính sách bảo mật của ứng dụng cũng tiết lộ hành vi này, mặc dù nói rằng đó là để "chặn thư rác và dịch vụ sao lưu": "Chúng tôi lưu trữ sms như một phần của khối thư rác và các dịch vụ sao lưu với nền tảng bên thứ ba, nhà cung cấp dịch vụ lưu trữ đám mây hoặc viễn thông của chúng tôi. (Lưu ý rằng chúng tôi không chia sẻ các bản ghi này với bên thứ ba)" - một trong những chính sách quyền riêng tư của Symoo.
Nguồn: BleepingComputer