Các ứng dụng mã độc này ngụy trang thành các tiện ích đa dạng (như đèn flashlight, quét mã QR và la bàn), tăng cường hiệu năng (như truyền tệp tin và dọn rác cleaner), các ứng dụng giải trí, lifestyle và tải video.
Giống với hầu hết các ứng dụng độc hại khác, các ứng dụng trên Android này không chứa bất kỳ mã độc nào, do vậy chúng vẫn có thể xuất hiện trên Play Store chính thức của Google.
Sau khi được cài đặt, đầu tiên phần mềm sẽ xác nhận thiết bị không phải là trình mô phỏng hay môi trường ảo. Tiếp đến payload của mã độc được tải về, lừa các nạn nhân đồng ý các quyền quản trị trên thiết bị.
Hãng Avast cho biết: Ứng dụng downloader thu thập thông tin thiết bị, như: ID, vị trí, ngôn ngữ và thông số hiển thị. Vị trí của thiết bị thu được từ địa chỉ IP mà địa chỉ này được dùng để kết nối với các dịch vụ trực tuyến cung cấp thông tin vị trí địa lý của các địa chỉ IP.
Cách thức malware trên Android đánh cắp mật khẩu tài khoản Facebook
Ngay khi người dùng mở ứng dụng Facebook, ứng dụng độc hại sẽ nhắc họ xác minh lại tài khoản bằng cách đăng nhập vào Facebook. Thay vì khai thác bất kỳ lỗ hổng hệ thống hoặc ứng dụng nào, mã độc này sử dụng chiến thuật tấn công giả mạo truyền thống (phishing).
Những ứng dụng giả mạo này chỉ cần khởi chạy một thành phần WebView có trang đăng nhập giống Facebook và yêu cầu người dùng đăng nhập, sau đó đánh cắp tên và mật khẩu Facebook của nạn nhân và gửi tới một máy chủ từ xa do tin tặc điều khiển.
Theo Avast, điều này rất có thể là do các nhà phát triển sử dụng các trình duyệt web nhúng (WebView, WebChromeClient) trong ứng dụng của họ, thay vì mở trang web trong trình duyệt. Còn các nhà nghiên cứu của Trend Micro cảnh báo, những thông tin đã bị đánh cắp có thể được dùng lại để lây lan malware nguy hiểm hơn, phát tán tin tức giả mạo hoặc tạo ra mã độc đào tiền ảo.
Các tài khoản Facebook bị đánh cắp cũng có thể tiết lộ nhiều thông tin định dạng cá nhân, tài chính khác và có thể bị rao bán ở các thị trường chợ đen.
Cũng theo các nhà nghiên cứu, hầu hết người dùng bị ảnh hưởng bởi ứng dụng GhostTeam tại Ấn Độ, Indonesia, Brazil, Việt Nam và Philippines.
Bên cạnh việc đánh cắp thông tin đăng nhập Facebook, GhostTeam cũng hiển thị các pop-up quảng cáo không mong muốn trên background.
Tất cả các ứng dụng đã được Google xóa khỏi Play Store sau khi được các chuyên gia nghiên cứu thông báo. Tuy nhiên, với những thiết bị đã cài đặt ứng dụng độc hại trên, người dùng được khuyến cáo bật tính năng Google Play Protect.
Tính năng an ninh của Play Protect sử dụng học máy và phân tích việc dùng ứng dụng để xóa các ứng dụng độc hại trên điện thoại Android và bảo vệ người dùng trước những mối nguy hiểm.
Mặc dù không tránh khỏi các ứng dụng độc hại trên app store chính thức, cách tốt nhất để người dùng bảo vệ mình là luôn cẩn trọng khi tải xuống các ứng dụng và luôn xác minh các quyền của ứng dụng và các đánh giá về ứng dụng trước khi tải xuống.
Hơn nữa, người dùng nên cài ứng dụng diệt virus trên thiết bị di động để có thể phát hiện và ngăn chặn mối đe dọa trên trước khi chúng lây nhiễm thiết bị và luôn cập nhật thiết bị và ứng dụng của mình.
BM
Theo whitehat.vn
15:00 | 06/07/2018
09:00 | 23/05/2018
13:00 | 28/06/2018
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024