Chiến dịch phần mềm độc hại mang tên SarangTrap bị các nhà nghiên cứu an ninh mạng phát hiện gần đây gây lo ngại cho người dùng và cả giới chuyên gia vì chúng đang nhắm vào cả người dùng Android lẫn iOS, giả dạng thành các ứng dụng hẹn hò, mạng xã hội, lưu trữ đám mây hay dịch vụ đặt xe để đánh cắp dữ liệu cá nhân nhạy cảm.
Với hơn 250 ứng dụng Android giả mạo và hơn 80 tên miền độc hại, SarangTrap đang tạo ra mối đe dọa nghiêm trọng, đặc biệt với người dùng tại Hàn Quốc, nhưng phạm vi ảnh hưởng đã bắt đầu lan ra nhiều quốc gia châu Á khác.
Không chỉ SarangTrap, "mặt trận" châu Á cũng đang nóng lên bởi các mối đe dọa khác ngày càng tinh vi và xảo quyệt. Báo cáo của các chuyên gia an ninh mạng cho thấy nhiều chiến dịch tương tự đang nhắm vào người dùng ở Ấn Độ, Việt Nam, Bangladesh...
Với hơn 250 ứng dụng Android giả mạo và hơn 80 tên miền độc hại, SarangTrap đang tạo ra mối đe dọa nghiêm trọng, đặc biệt với người dùng tại Hàn Quốc, nhưng phạm vi ảnh hưởng đã bắt đầu lan ra nhiều quốc gia châu Á khác.
Chiến dịch hoạt động thế nào?
- Bước tiếp cận: Dụ người dùng cài app
- Hacker dựng tên miền giả giống trang tải app chính thức.
- Ứng dụng được đóng gói như một app hợp pháp (hẹn hò, chat, mạng xã hội…).
- Trên iOS, kẻ tấn công còn hướng dẫn người dùng cài mobile configuration profile để vượt qua kiểm soát của App Store.
- Cài cắm và kích hoạt
- Sau khi cài đặt, app yêu cầu người dùng nhập mã mời.
- Mã này được kiểm tra với máy chủ điều khiển (C2), chỉ khi hợp lệ app mới “lộ” chức năng độc hại.
- Cách này giúp né các hệ thống quét virus và phân tích động, vì phần mềm chỉ “ra tay” khi có mã kích hoạt.
- Thu thập dữ liệu
- Quyền truy cập SMS, danh bạ, ảnh, file… được yêu cầu dưới danh nghĩa “cung cấp tính năng”.
- Dữ liệu được đóng gói và gửi về máy chủ hacker, một số trường hợp dùng hạ tầng như Firebase hoặc Discord webhook để ngụy trang.
- Chiêu trò mở rộng và biến thể
- Một số biến thể mới chỉ thu thập danh bạ, ảnh và thông tin thiết bị để giảm khả năng bị phát hiện.
- Có trường hợp hacker đe dọa phát tán video, ảnh nhạy cảm để tống tiền.
- Chiến dịch vẫn đang được phát triển tích cực, liên tục tung phiên bản mới.
- Tại Ấn Độ: App giả mạo dịch vụ ngân hàng, thu thập thông tin thẻ, SIM, giả giao diện chuyển tiền.
- Tại Việt Nam: Xuất hiện trojan ngân hàng tên RedHook, hỗ trợ hơn 30 lệnh điều khiển từ xa, kết hợp keylogger và chiếm quyền Accessibility để lừa lấy mật khẩu.
- Chiến dịch Telegram giả mạo: Phát tán qua mã QR, lợi dụng lỗ hổng Janus trên Android 5.0 - 8.0 để cài app độc mà không bị nghi ngờ.
- Tâm lý tò mò hoặc tin tưởng vào app “hot” hẹn hò, chat, mạng xã hội.
- Thiếu cảnh giác với các lời mời cài app ngoài chợ ứng dụng chính thức.
- Không hiểu rõ rủi ro từ việc cấp quyền cho ứng dụng.
- Các chiến dịch được thiết kế giống hệt thương hiệu quen thuộc nên rất khó phân biệt.
Mức độ nguy hiểm và ảnh hưởng
- Đánh cắp dữ liệu cá nhân: Danh bạ, ảnh, tin nhắn, file riêng tư.
- Rủi ro tài chính: Lấy cắp thông tin ngân hàng, ví điện tử, OTP.
- Tống tiền & bôi nhọ: Đe dọa phát tán dữ liệu nhạy cảm.
- Kiểm soát thiết bị: Thực thi lệnh từ xa, chụp màn hình, ghi lại thao tác.
Các chuyên gia khuyến cáo người dùng
- Chỉ cài app từ nguồn chính thức (Google Play, App Store).
- Cảnh giác với lời mời nhập mã kích hoạt hoặc cài profile cấu hình lạ.
- Kiểm tra và giới hạn quyền ứng dụng, đặc biệt là: Quyền truy cập SMS, danh bạ, ảnh.
- Quét thiết bị thường xuyên bằng phần mềm bảo mật uy tín.
- Không bấm vào link từ tin nhắn, email hoặc mạng xã hội nếu không chắc chắn.
- Luôn cập nhật hệ điều hành để tránh bị khai thác lỗ hổng.
- Khi nghi ngờ bị xâm nhập: Ngắt mạng, sao lưu dữ liệu, đặt lại thiết bị và đổi toàn bộ mật khẩu trên thiết bị an toàn khác.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
