Các nhà nghiên cứu an ninh mạng tại ESET (công ty bảo mật có trụ sở chính tại Bratislava, Slovakia) tiết lộ rằng, phần mềm độc hại có tên BlackRock được tạo ra với mục đích đánh cắp thông tin đăng nhập của nạn nhân trên tổng số 458 dịch vụ trực tuyến. Danh sách các ứng dụng được nhắm mục tiêu bao gồm tất cả các loại ứng dụng tài chính, mua sắm và trao đổi tiền điện tử, cũng như các nền tảng nhắn tin và truyền thông xã hội (Twitter, Whatapp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA, Lloyds Bank…).
BlackRook sử dụng cách thức tấn công lớp phủ (overlay attack) để thực hiện đánh cắp thông tin đăng nhập của nạn nhân bất cứ khi nào một trong những ứng dụng bị nhắm mục tiêu được khởi chạy. Khi đó, chúng tạo ra một cửa sổ giả hiện lên trên một ứng dụng hợp pháp, “lớp phủ” này kết hợp với ứng dụng nền khiến người dùng khó nhận biết pop-up xuất hiện có phải là một phần của ứng dụng đó hay không. Cửa sổ này sẽ nhắc người dùng điền thông tin đăng nhập và số thẻ tín dụng để có thể bắt đầu dùng ứng dụng hợp pháp. Đây là một kỹ thuật phổ biến cho phép tin tặc có quyền truy cập vào thông tin đăng nhập của người dùng.
Mối quan tâm chính ở đây là phần mềm độc hại cũng có thể chặn tin nhắn văn bản kể cả khi người dùng có đang sử dụng xác thực hai yếu tố dựa trên SMS. Sau đó, ứng dụng độc hại yêu cầu nạn nhân kích hoạt các dịch vụ trợ năng để cho phép chúng có thể kiểm soát trực tiếp thiết bị.
Chuyên gia Lukas Stefanko của ESET cho biết, tin tặc đã tạo ra một bản sao được làm giống như web Clubhouse chính thức và chỉ có một vài điểm nhỏ khác biệt. Nếu người dùng tải xuống ứng dụng từ một trang web hợp pháp, ứng dụng đó sẽ luôn chuyển hướng người dùng đến Google Play thay vì tải xuống trực tiếp. Phiên bản giả mạo sẽ tự động tải xuống ứng dụng trên thiết bị của người dùng ngay sau khi họ nhấp vào “tải xuống trên Google Play”.
Một điểm khác biệt chính cần lưu ý là khi sử dụng các trang web giả mạo, có dấu hiệu cho thấy kết nối không an toàn (HTTP thay vì HTTPS) hoặc trang web đang sử dụng tên miền cấp cao “.mobi” (TLD) thay vì “.com.”.
Trang web giả mạo (trái) và trang web hợp pháp (phải)
Trên thực tế là Clubhouse thực sự đang có kế hoạch tung ra phiên bản Android cho ứng dụng của mình, nhưng hiện tại ứng dụng này hiện chỉ có sẵn cho người dùng iOS.
Để tránh trở thành nạn nhân của các cuộc tấn công tương tự bởi phần mềm độc hại Trojan, có một số lưu ý mà người dùng có thể làm theo:
- Chỉ sử dụng các cửa hàng chính thức để tải ứng dụng xuống thiết bị của mình. Cảnh giác với các quyền cấp cho ứng dụng.
- Người dùng nên cập nhật thiết bị của mình bằng cách cài đặt tự động cập nhật bản vá. Nếu có thể, nên sử dụng trình tạo mật khẩu một lần (OTP) dựa trên phần mềm hoặc mã thông báo phần cứng thay vì SMS.
- Thực hiện một số tìm hiểu về nhà phát triển và xếp hạng của ứng dụng cũng như đánh giá của người dùng trước khi cài đặt ứng dụng.
Quốc Trường
09:00 | 16/04/2021
16:00 | 15/03/2021
13:00 | 17/02/2021
14:00 | 17/05/2021
08:00 | 14/06/2021
09:00 | 22/03/2021
10:00 | 08/04/2022
15:00 | 10/01/2025
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), gần đây, các chuyên gia bảo mật đã ghi nhận một chiến dịch tấn công nhằm vào các tiện ích mở rộng trên trình duyệt Google Chrome, dẫn tới việc ít nhất 16 tiện ích đã bị ảnh hưởng....
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
08:00 | 01/11/2024
Báo cáo mới đây của hãng bảo mật Trend Micro (Mỹ) cho biết, nhóm gián điệp mạng OilRig có liên hệ với Iran đã tăng cường các hoạt động tấn công mạng nhằm vào các thực thể chính phủ của các nước khu vực Vùng Vịnh.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025