Phát hiện Trojan Android đánh cắp hơn 300.000 tài khoản Facebook

14:00 | 09/12/2022 | HACKER / MALWARE

Một chiến dịch đánh cắp tài khoản Facebook vừa được phát hiện với hơn 300.000 tài khoản bị tấn công, chủ yếu tại Việt Nam, Trojan Android này đã giả dạng các ứng dụng giáo dục để thực hiện hành vi đánh cắp thông tin đăng nhập tài khoản Facebook từ các thiết bị bị nhiễm.

Phát hiện Trojan Android đánh cắp hơn 300.000 tài khoản Facebook

Theo báo cáo mới từ công ty bảo mật di động Zimperium (Mỹ), chiến dịch có tên gọi là “Schoolyard Bully”, đây là Trojan ngụy trang dưới dạng các ứng dụng giáo dục cung cấp các nội dung như đọc sách và các chủ đề dành cho học sinh, đã lây nhiễm ít nhất 300.000 thiết bị của nạn nhân trên 71 quốc gia khác nhau, trong đó mục tiêu chủ yếu nhằm vào người dùng Facebook tại Việt Nam.

Hoạt động từ năm 2018, chiến dịch Trojan này được thiết kế đặc biệt để đánh cắp và tải thông tin đăng nhập Facebook lên các máy chủ do các tin tặc kiểm soát. Zimperium cho biết, kể từ khi bị xóa khỏi Google Play, Schoolyard Bully vẫn tiếp tục tồn tại và gây rủi ro cho người dùng thông qua các cửa hàng ứng dụng Android của bên thứ ba.

Schoolyard Bully giả dạng các ứng dụng giáo dục. Tuy nhiên, mục tiêu chính của Trojan này là đánh cắp thông tin đăng nhập tài khoản Facebook như email, mật khẩu, ID tài khoản, tên người dùng, số điện thoại. Ngoài ra, nó cũng thu thập tên thiết bị của người dùng, thông tin phần cứng và phần mềm của thiết bị.

Trojan đánh cắp các chi tiết này bằng cách mở trang đăng nhập Facebook hợp pháp bên trong ứng dụng bằng WebView và tiêm JavaScript độc hại để trích xuất thông tin do người dùng nhập vào.

Cụ thể, các nhà nghiên cứu của Zimperium giải thích: “Khi người dùng nhập thông tin xác thực tài khoản Facebook của họ trong ứng dụng thông qua trang Facebook. Javascript sẽ được đưa vào WebView bằng phương thức 'evaluateJavascript’, mã javascript này sau đó trích xuất giá trị của các thành phần ‘ids m_login_email’ và ‘m_login_password’, là các vị trí cho số điện thoại, địa chỉ email và mật khẩu. Dữ liệu sẽ được chuyển một cách âm thầm và trích xuất tới máy chủ chỉ huy và kiểm soát (C&C) do tin tặc kiểm soát”.

Hơn nữa, Trojan sử dụng Native Libraries (tập hợp của nhiều thư viện như WebKit, OpenGL, FreeType, SQLite, Media,…) để ẩn mình trước các phần mềm bảo mật và các công cụ phân tích, điều này khiến việc phát hiện là rất khó khăn.

Zimperium cho biết hãng đã phát hiện Trojan độc hại này trên 300.000 nạn nhân ở 71 quốc gia dựa trên dữ liệu đo từ xa. Ngoài ra, do 37 ứng dụng trong chiến dịch này được phân phối qua các cửa hàng ứng dụng của bên thứ ba, số lượng nạn nhân có thể cao hơn vì không có cách đo lường chính xác các nạn nhân trên những nền tảng này.

Zimperium cũng cảnh báo rằng có thể có nhiều ứng dụng hơn ngoài những ứng dụng mà các nhà nghiên cứu đã phát hiện. Bên cạnh đó, hãng bảo mật di động này cũng đã cung cấp thông tin kỹ thuật và chỉ số thỏa hiệp (IoC) có thể được sử dụng nhằm phát hiện Trojan Schoolyard Bully.

Các nguy cơ từ Schoolyard Bully vẫn chưa được chỉ rõ, tuy nhiên Zimperium khẳng định Trojan này không liên quan đến hoạt động FlyTrap - một chiến dịch Trojan Android tấn công vào Việt Nam với cùng mục tiêu đánh cắp tài khoản Facebook, vì dựa trên phân tích mã nguồn, các nhà nghiên cứu cho biết hai chiến dịch này hoạt động và sử dụng các mã khác nhau.

Hồng Đạt

‹ › ×

Tin liên quan

Thái Lan cảnh báo Facebook do sai phạm

15:00 | 03/09/2023

Bộ Kinh tế số và Xã hội Thái Lan đã nhiều lần yêu cầu Facebook gỡ bỏ những quảng cáo được xác định là lừa đảo, song vấn đề này vẫn tồn tại.

Giải pháp phát hiện Trojan phần cứng tấn công mạng tạo số ngẫu nhiên thực

09:00 | 09/01/2023

Trojan phần cứng (Hardware Trojan - HT) là một biến thể của thiết kế IC nguyên bản (sạch, tin cậy) bị cổ ý chèn thêm các linh kiện vào IC để cho phép truy cập hoặc làm thay đổi thông tin lưu trữ (xử lý) ở bên trong chip. Các HT không chỉ là đe dọa lý thuyết an toàn mà còn trở thành phương tiện tấn công tiềm ẩn, đặc biệt đối với các mạch tạo số ngẫu nhiên, giữ vai trò quan trọng trong các hoạt động xử lý bảo mật và an toàn thông tin. Bộ tạo số ngẫu nhiên (True Random Number Generator - TRNG) được dùng làm điểm khởi đầu để sinh ra các khóa mật mã nhằm bảo đảm tính tin cậy cho các phép toán trong hệ mật. Vì vậy, TRNG là mục tiêu hấp dẫn đối với tấn công cố ý bằng HT. Bài báo áp dụng phương pháp tạo số ngẫu nhiên thực TRNG, thiết kế T4RNG (Trojan for Random Number Generators) làm suy giảm chất lượng các số ngẫu nhiên ở đầu ra của bộ tạo, mô tả các đặc tính của Trojan T4RNG và đưa ra kết quả thống kê phát hiện ra Trojan này dựa vào công cụ đánh giá AIS-31[2] và NIST SP-22 [3].

Phần mềm độc hại mới DUCKTAIL chuyên xâm nhập tài khoản Facebook Business

09:00 | 23/08/2022

Các nhà nghiên cứu của WithSecure (trước đây là F-Secure có trụ sở tại Phần Lan) tuyên bố rằng họ đã tìm thấy phần mềm độc hại DUCKTAIL nhắm mục tiêu vào người dùng và tổ chức trên nền tảng Facebook Business trong một chiến dịch độc hại mới có động cơ tài chính. Đặc biệt, nhóm nghiên cứu cho rằng nhóm tin tặc gây ra cuộc tấn công này đến từ Việt Nam.

Phiên bản mới của Trojan Android Xenomorph đánh cắp dữ liệu từ 400 ứng dụng ngân hàng

16:00 | 17/03/2023

Trojan Android Xenomorph đã quay trở lại với phiên bản mới cùng các tính năng bổ sung và cải tiến để thực hiện các cuộc tấn công độc hại, bao gồm khung hệ thống chuyển tiền tự động (Automated Transfer System - ATS) và khả năng đánh cắp thông tin đăng nhập từ 400 ứng dụng ngân hàng khác nhau.

Ứng dụng Messenger của Facebook sẽ được kích hoạt mã hóa đầu cuối vào cuối năm nay

15:00 | 03/09/2023

Meta - công ty phát triển ứng dụng Facebook khẳng định sẽ triển khai hỗ trợ mã hóa đầu cuối mặc định cho tất cả các cuộc trò chuyện trên ứng dụng Messenger vào cuối năm nay.

Những nguyên tắc để tránh bị lừa đảo trên Facebook

08:00 | 07/04/2023

Trong thời đại công nghệ số hiện nay facebook trở thành một ứng dụng hết sức phổ biến, từ trẻ em đến người già đều sở hữu cho mình 1 tài khoản Facebook. Tuy nhiên, đây cũng trở thành miếng mồi béo bở cho tội phạm mạng. Chúng dùng rất nhiều thủ đoạn tinh vi nhằm đánh lừa người dùng và đánh cắp tài khoản Facebook với mục đích xấu. Dưới đây là 8 nguyên tắc giúp người dùng trách bị lừa đảo trên mạng xã hội Facebook.

Mã độc Trojan mới Octo nhắm mục tiêu vào các tổ chức tài chính

09:00 | 21/04/2022

Hơn 50.000 lượt tải về các ứng dụng giả mạo trên Google Play đang được sử dụng để nhắm tới các ngân hàng và các tổ chức tài chính trên toàn thế giới.

Mã độc tấn công nhiều tài khoản Facebook tại Việt Nam

15:00 | 31/08/2023

Mới đây, hệ thống giám sát và cảnh báo mã độc của Bkav đã ghi nhận số lượng máy tính nhiễm mã độc Fabookie tăng đột biến. Bkav cho biết, trong tháng 7/2023, đã có hơn 100.000 máy tính tại Việt Nam bị nhiễm mã độc Fabookie - chuyên đánh cắp tài khoản Facebook Bussiness.

Phát hiện Trojan Android mới đánh cắp tài khoản ngân hàng tại Việt Nam

15:00 | 26/10/2023

Công ty an ninh mạng Group-IB vừa qua đã đưa ra cảnh báo về loại Trojan Android mới, được thiết kế để bí mật thu thập thông tin người dùng, bao gồm xác thực ứng dụng ngân hàng nhằm chiếm đoạt tài khoản.

Xenomorph - Trojan ngân hàng mới trên Android

14:00 | 07/03/2022

Mới đây, các nhà nghiên cứu tới từ công ty bảo mật ThreatFnai (Hà Lan) đã đưa ra cảnh báo về một trojan ngân hàng mới trên nền tảng Android, ghi nhận với hơn 50.000 lượt cài đặt và phát tán thông qua cửa hàng ứng dụng Google Play. Mã độc này nhắm mục tiêu thu thập các thông tin nhạy cảm của người dùng đến từ 56 ngân hàng khác nhau tại Châu Âu.

Tin cùng chuyên mục

Phân tích Lu0Bot: Phần mềm độc hại trên nền tảng Node.js (Phần 1)

07:00 | 03/11/2023

Hiện nay, ngày càng có nhiều nhà phát triển phần mềm độc hại sử dụng kết hợp đa ngôn ngữ lập trình để vượt qua các hệ thống bảo mật phát hiện nâng cao. Trong đó, phần mềm độc hại Node.js Lu0Bot là minh chứng nổi bật cho xu hướng này. Bằng cách nhắm mục tiêu vào môi trường runtime - thường được sử dụng trong các ứng dụng web hiện đại và sử dụng tính năng che giấu nhiều lớp, Lu0Bot là mối đe dọa nghiêm trọng đối với các tổ chức và cá nhân. Trong phần I của bài viết sẽ khám phá kiến trúc của phần mềm độc hại này.

Netskope phát hiện có nhiều mã nguồn được đẩy vào ChatGPT

10:00 | 12/09/2023

Mới đây, công ty phần mềm Netskope (Mỹ) đã đưa ra một báo cáo cho thấy, mã nguồn được đẩy vào ChatGPT nhiều hơn bất kỳ loại dữ liệu nhạy cảm nào, với tỷ lệ 158 sự cố trên 10 nghìn người dùng mỗi tháng.

Nhóm tin tặc Monti tung ra bộ mã hóa Linux mới

14:00 | 22/08/2023

Nhóm tin tặc chuyên sử dụng mã độc tống tiền Monti đã quay trở lại sau 2 tháng dừng hoạt động, với một phiên bản mã hóa Linux mới. Biến thể này được sử dụng trong các cuộc tấn công nhằm vào các tổ chức trong chính phủ và các lĩnh vực pháp luật.

Phần mềm độc hại ShadowVault mới đánh cắp dữ liệu nhạy cảm trên thiết bị MacOS

14:00 | 24/07/2023

Công ty an ninh mạng Guardz (Israel) đã xác nhận sự tồn tại của một chương trình đánh cắp thông tin mới trên dark web, được gọi là phần mềm độc hại ShadowVault, có khả năng đánh cắp dữ liệu nhạy cảm từ các thiết bị chạy macOS, gây ra mối đe dọa đáng kể cho các doanh nghiệp cũng như cá nhân.