Giới chuyên gia an ninh mạng vừa cảnh báo về một loại mã độc Android mới mang tên Fantasy Hub, đang được rao bán công khai trên Telegram. Điều đáng lo là mã độc này không cần lập trình viên chuyên nghiệp để sử dụng, vì nó được bán theo mô hình “thuê bao dịch vụ”, giống như Netflix hay Spotify, nhưng dùng để... do thám và chiếm quyền điện thoại người khác.
Fantasy Hub cho phép người mua chọn tên, biểu tượng và giao diện ứng dụng để dễ dàng giả mạo ứng dụng thật. Sau đó, hệ thống sẽ tự động nhúng mã độc vào tệp cài đặt (APK) và trả lại cho người mua, sẵn sàng phát tán đến nạn nhân.
Nguy hiểm hơn, Fantasy Hub còn sử dụng công nghệ WebRTC (thường dùng cho gọi video) để phát trực tiếp hình ảnh và âm thanh từ điện thoại nạn nhân về máy chủ của kẻ tấn công, biến điện thoại thành “camera gián điệp” thực thụ.
Nhiều loại mã độc khác cũng đang hoành hành, như:
Chuyên gia khuyến cáo người dùng nên cảnh giác cao độ với các ứng dụng lạ hoặc bản cập nhật tự xưng là Google Play.
Một số lưu ý quan trọng:
“Mã độc thuê bao” - Khi hacker cũng có "gói VIP"
Theo công ty bảo mật Zimperium, Fantasy Hub cho phép kẻ xấu điều khiển điện thoại từ xa. Sau khi cài đặt, phần mềm có thể đọc và gửi tin nhắn SMS, xem danh bạ, lịch sử cuộc gọi, ảnh, video và thậm chí nghe lén hoặc quay lén qua camera, micro. Giá thuê dịch vụ này khá “đa dạng”: 200 USD/tuần, 500 USD/tháng hoặc 4.500 USD/năm. Người mua còn được cung cấp video hướng dẫn, công cụ tạo trang web giả Google Play và bot hỗ trợ tự động theo đúng chuẩn “dịch vụ tận răng”.Fantasy Hub cho phép người mua chọn tên, biểu tượng và giao diện ứng dụng để dễ dàng giả mạo ứng dụng thật. Sau đó, hệ thống sẽ tự động nhúng mã độc vào tệp cài đặt (APK) và trả lại cho người mua, sẵn sàng phát tán đến nạn nhân.
Cách tấn công: Giả mạo bản cập nhật Google Play
Fantasy Hub thường ngụy trang thành bản cập nhật Google Play để lừa người dùng cài đặt. Khi được cài, ứng dụng yêu cầu trở thành trình nhắn tin mặc định, từ đó có quyền đọc toàn bộ SMS, bao gồm cả mã OTP ngân hàng. Mã độc này còn tạo giao diện giả trông như thật để đánh cắp thông tin đăng nhập của người dùng, đặc biệt là các ứng dụng ngân hàng tại Nga.Nguy hiểm hơn, Fantasy Hub còn sử dụng công nghệ WebRTC (thường dùng cho gọi video) để phát trực tiếp hình ảnh và âm thanh từ điện thoại nạn nhân về máy chủ của kẻ tấn công, biến điện thoại thành “camera gián điệp” thực thụ.
Tội phạm mạng ngày càng chuyên nghiệp
Fantasy Hub không phải là trường hợp duy nhất. Báo cáo của Zscaler ThreatLabz cho thấy, số lượng mã độc Android tăng 67% trong năm qua, với 239 ứng dụng độc hại xuất hiện ngay trên Google Play và được tải hơn 42 triệu lượt.
Nhiều loại mã độc khác cũng đang hoành hành, như:
- Anatsa (TeaBot), Void (Vo1d): Đánh cắp tài khoản ngân hàng.
- Xnotice: Giả mạo ứng dụng tuyển dụng để lừa người tìm việc ở Trung Đông.
- NGate (NFSkate): Dùng công nghệ NFC để rút tiền bằng thẻ của chính nạn nhân mà không cần cướp thẻ thật.
Chuyên gia khuyến cáo người dùng nên cảnh giác cao độ với các ứng dụng lạ hoặc bản cập nhật tự xưng là Google Play.
Một số lưu ý quan trọng:
- Chỉ cài ứng dụng từ Google Play, không tải từ liên kết gửi qua tin nhắn hay mạng xã hội.
- Kiểm tra quyền truy cập trước khi cài, đặc biệt là quyền đọc SMS, camera, micro và quản trị thiết bị.
- Không cài ứng dụng yêu cầu quyền “trình nhắn tin mặc định” trừ khi bạn chắc chắn về nguồn gốc.
- Cập nhật Android và ứng dụng thường xuyên để vá lỗi bảo mật.
- Cài phần mềm diệt virus uy tín, có khả năng phát hiện mã độc dạng RAT (điều khiển từ xa).
- Doanh nghiệp nên quản lý thiết bị nhân viên bằng hệ thống MDM (Mobile Device Management) để hạn chế rủi ro.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
