WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Ứng dụng đánh cắp mật khẩu Facebook được tìm thấy trên Android Play Store
Các hãng an ninh tin rằng một nhà phát triển Việt Nam đã phát triển và tải mã độc lên Play Store từ việc sử dụng đáng kể tiếng Việt trong code.
Bất chấp nhiều nỗ lực của Google, các ứng dụng chứa mã độc vẫn tìm cách “lách” và xuất hiện trên app store của hãng.
Các chuyên gia an ninh đã phát hiện được một phần mềm độc hại mới, được đặt tên là GhostTeam, trong ít nhất 56 ứng dụng trên Google Play Store. Phần mềm này được thiết kế để đánh cắp thông tin đăng nhập Facebook và hiển thị quảng cáo pop-up.
Được phát hiện độc lập bởi hai công ty an ninh mạng, Trend Micro và Avast, các ứng dụng mã độc này ngụy trang thành các tiện ích đa dạng (như đèn flashlight, quét mã QR và la bàn), tăng cường hiệu năng (như truyền tệp tin và dọn rác cleaner), các ứng dụng giải trí, lifestyle và tải video.
Giống hầu hết các ứng dụng độc hại khác, bản thân các ứng dụng Android trên không chứa bất kỳ mã độc nào, do vậy chúng vẫn có thể xuất hiện trên Play Store chính thức của Google.
Sau khi được cài đặt, đầu tiên phần mềm sẽ xác nhận thiết bị không phải là trình mô phỏng hay môi trường ảo. Tiếp đến payload của malware được tải về, lừa các nạn nhân đồng ý các quyền quản trị trên thiết bị.
Hãng Avast cho biết: "Ứng dụng downloader thu thập thông tin thiết bị, như ID, vị trí, ngôn ngữ và thông số hiển thị. Vị trí của thiết bị thu được từ địa chỉ IP mà địa chỉ này được dùng để kết nối với các dịch vụ trực tuyến cung cấp thông tin vị trí địa lý của các địa chỉ IP".
Cách thức malware trên Android đánh cắp mật khẩu tài khoản Facebook
Ngay khi người dùng mở ứng dụng Facebook, malware ngay lập tức nhắc họ xác minh lại tài khoản bằng cách đăng nhập vào Facebook. Thay vì khai thác bất kỳ lỗ hổng hệ thống hoặc ứng dụng nào, malware này sử dụng chiến thuật phishing truyền thống.
Những ứng dụng giả mạo này chỉ cần khởi chạy một thành phần WebView có trang đăng nhập giống Facebook và yêu cầu người dùng đăng nhập, sau đó đánh cắp tên và mật khẩu Facebook của nạn nhân và gửi tới một máy chủ từ xa do hacker điều khiển.
Theo Avast: “Điều này rất có thể là do các nhà phát triển sử dụng các trình duyệt web nhúng (WebView, WebChromeClient) trong ứng dụng của họ thay vì mở trang web trong trình duyệt”.
Các nhà nghiên cứu của Trend Micro cảnh báo những thông tin đã bị đánh cắp có thể được dùng lại để lây lan "malware nguy hiểm hơn nhiều" hoặc "tích lũy đội quân zombie trên mạng xã hội" để phát tán tin tức giả mạo hoặc tạo ra malware đào tiền ảo.
Các tài khoản Facebook bị đánh cắp cũng có thể tiết lộ “nhiều thông tin định dạng cá nhân và tài chính khác” và có thể bị rao bán ở các thị trường chợ đen.
Cũng theo các nhà nghiên cứu, hầu hết người dùng bị ảnh hưởng bởi malware GhostTeam ở Ấn Độ, Indonesia, Brazil, Việt Nam và Philippines.
Bên cạnh việc đánh cắp thông tin đăng nhập Facebook, GhostTeam cũng hiển thị các pop up quảng cáo không mong muốn trên background.
Tất cả các ứng dụng đã được Google xóa khỏi Play Store sau khi được các chuyên gia nghiên cứu thông báo. Tuy nhiên, với những thiết bị đã cài đặt ứng dụng độc hại trên, người dùng được khuyến cáo bật tính năng Google Play Protect.
Tính năng an ninh của Play Protect sử dụng học máy và phân tích việc dùng ứng dụng để xóa (gỡ) các ứng dụng độc hại trên smartphone Android và bảo vệ người dùng trước những mối nguy hiểm.
Mặc dù không tránh khỏi các ứng dụng độc hại đang trôi nổi trên app store chính thức, cách tốt nhất để bảo vệ mình là luôn cẩn trọng khi tải xuống các ứng dụng và luôn xác minh các quyền của ứng dụng và các đánh giá về ứng dụng trước khi bạn tải xuống.
Hơn nữa, người dùng nên cài ứng dụng diệt virus trên thiết bị di động để có thể phát hiện và ngăn chặn mối đe dọa trên trước khi chúng lây nhiễm thiết bị của bạn và quan trọng nhất là luôn cập nhật thiết bị và ứng dụng của mình.
Các chuyên gia an ninh đã phát hiện được một phần mềm độc hại mới, được đặt tên là GhostTeam, trong ít nhất 56 ứng dụng trên Google Play Store. Phần mềm này được thiết kế để đánh cắp thông tin đăng nhập Facebook và hiển thị quảng cáo pop-up.
Được phát hiện độc lập bởi hai công ty an ninh mạng, Trend Micro và Avast, các ứng dụng mã độc này ngụy trang thành các tiện ích đa dạng (như đèn flashlight, quét mã QR và la bàn), tăng cường hiệu năng (như truyền tệp tin và dọn rác cleaner), các ứng dụng giải trí, lifestyle và tải video.
Giống hầu hết các ứng dụng độc hại khác, bản thân các ứng dụng Android trên không chứa bất kỳ mã độc nào, do vậy chúng vẫn có thể xuất hiện trên Play Store chính thức của Google.
Sau khi được cài đặt, đầu tiên phần mềm sẽ xác nhận thiết bị không phải là trình mô phỏng hay môi trường ảo. Tiếp đến payload của malware được tải về, lừa các nạn nhân đồng ý các quyền quản trị trên thiết bị.
Cách thức malware trên Android đánh cắp mật khẩu tài khoản Facebook
Ngay khi người dùng mở ứng dụng Facebook, malware ngay lập tức nhắc họ xác minh lại tài khoản bằng cách đăng nhập vào Facebook. Thay vì khai thác bất kỳ lỗ hổng hệ thống hoặc ứng dụng nào, malware này sử dụng chiến thuật phishing truyền thống.
Những ứng dụng giả mạo này chỉ cần khởi chạy một thành phần WebView có trang đăng nhập giống Facebook và yêu cầu người dùng đăng nhập, sau đó đánh cắp tên và mật khẩu Facebook của nạn nhân và gửi tới một máy chủ từ xa do hacker điều khiển.
Theo Avast: “Điều này rất có thể là do các nhà phát triển sử dụng các trình duyệt web nhúng (WebView, WebChromeClient) trong ứng dụng của họ thay vì mở trang web trong trình duyệt”.
Các nhà nghiên cứu của Trend Micro cảnh báo những thông tin đã bị đánh cắp có thể được dùng lại để lây lan "malware nguy hiểm hơn nhiều" hoặc "tích lũy đội quân zombie trên mạng xã hội" để phát tán tin tức giả mạo hoặc tạo ra malware đào tiền ảo.
Các tài khoản Facebook bị đánh cắp cũng có thể tiết lộ “nhiều thông tin định dạng cá nhân và tài chính khác” và có thể bị rao bán ở các thị trường chợ đen.
Cũng theo các nhà nghiên cứu, hầu hết người dùng bị ảnh hưởng bởi malware GhostTeam ở Ấn Độ, Indonesia, Brazil, Việt Nam và Philippines.
Bên cạnh việc đánh cắp thông tin đăng nhập Facebook, GhostTeam cũng hiển thị các pop up quảng cáo không mong muốn trên background.
Tính năng an ninh của Play Protect sử dụng học máy và phân tích việc dùng ứng dụng để xóa (gỡ) các ứng dụng độc hại trên smartphone Android và bảo vệ người dùng trước những mối nguy hiểm.
Mặc dù không tránh khỏi các ứng dụng độc hại đang trôi nổi trên app store chính thức, cách tốt nhất để bảo vệ mình là luôn cẩn trọng khi tải xuống các ứng dụng và luôn xác minh các quyền của ứng dụng và các đánh giá về ứng dụng trước khi bạn tải xuống.
Hơn nữa, người dùng nên cài ứng dụng diệt virus trên thiết bị di động để có thể phát hiện và ngăn chặn mối đe dọa trên trước khi chúng lây nhiễm thiết bị của bạn và quan trọng nhất là luôn cập nhật thiết bị và ứng dụng của mình.
Theo Hackernews
Chỉnh sửa lần cuối:
