VNR Content
Pearl
Các ứng dụng Android độc hại đã và đang lợi dụng các công cụ giáo dục, hòng đánh cắp thông tin định danh Facebook của hàng trăm ngàn người trên toàn thế giới trong vài năm trở lại đây - đó là tiết lộ của công ty an ninh di động Zimperium.
Giao diện một số ứng dụng bị nhiễm Trojan Schoolyard Bully Kích hoạt từ năm 2018, chiến dịch trojan này được thiết kế để đánh cắp và upload thông tin định danh lên các máy chủ do hacker kiểm soát. Dù đã bị xóa bỏ khỏi Play Store của Google - cũng là cửa hàng ứng dụng lớn nhất thế giới với hơn 3,5 triệu ứng dụng cho phép tải về - Schoolyard Bully vẫn hiện diện trên các cửa hàng ứng dụng bên thứ ba và tiềm ẩn rủi ro nghiêm trọng đối với nhóm người dùng học sinh/sinh viên. “Gần 64% số người sử dụng password từng bị lộ trong một vụ xâm nhập trước đó” - các nhà nghiên cứu nói. “Với việc nhiều người dùng lại password như vậy, không hề ngạc nhiên khi Trojan Schoolyard Bully tồn tại suốt nhiều năm đến thế”. Và điều đáng nói là Trojan này đặc biệt hiệu quả trong việc “càn quét” các tài khoản liên quan lĩnh vực tài chính.
“Trojan mở một URL hợp lệ trong một WebView với mã độc javascript chèn vào, nhằm trích xuất số điện thoại, địa chỉ email, và password của người dùng, sau đó gửi nó lên một máy chủ Firebase C&C đã được cấu hình sẵn”
Đoạn mã JavaScript chèn vào trang đăng nhập Facebook để đánh cắp thông tin định danh Schoolyard Bully thu thập các dữ liệu như tên profile Facebook và ID, email, số điện thoại, password người dùng. Nó còn lấy tên thiết bị và thông tin phần mềm lẫn phần cứng của thiết bị. Bằng cách sử dụng các “thư viện native”, trojan này có thể thoát khỏi sự truy quét của các chương trình antivirus. Các nhà nghiên cứu nói rằng Schoolyard Bully nhắm đến cả các nạn nhân người Việt và quốc tế. Khi người dùng nhập thông tin định danh tài khoản Facebook trong app thông qua một trang WebView Facebook “chính chủ”, dữ liệu sẽ được truyền đi một cách âm thầm và được trích xuất vào một máy chủ điều khiển và kiểm soát do hacker nắm giữ thông qua chèn mã Javascript. Tương tự như Schoolyard Bully, các nhà nghiên cứu của Zimperium còn phát hiện ra nhiều chiến dịch virus gần đây, như “FlyTrap”, cũng xuất phát từ các hacker Việt Nam. Tuy nhiên, cách thức lây nhiễm có vẻ khác so với Schoolyard Bully, bởi các chiến dịch này hoạt động theo cách khác và có mã nguồn khác.
Danh sách một số ứng dụng bị nhiễm Trojan Schoolyard Bully Các ứng dụng bên thứ ba có thể lọt vào bất kỳ cửa hàng ứng dụng nào, bất kể tiếng tăm và mức độ bảo mật của chúng. Tuy nhiên, chúng hiện diện nhiều hơn trên Google Play và các cửa hàng ứng dụng dành cho Android. Tháng 10 vừa qua, các nhà nghiên cứu bảo mật của Meta đã xác định được hơn 400 ứng dụng di động nhắm đế người dùng Facebook trên Google Play. Apple nổi tiếng vì khắt khe hơn trong phê duyệt các ứng dụng được phép đưa lên cửa hàng ứng dụng của họ, và cũng không cho người dùng sideload ứng dụng, vì có thể tạo cơ hội cho hacker “lách” các biện pháp bảo vệ của Apple. Các ứng dụng bên thứ ba là các ứng dụng được tạo ra bởi người khác thay vì công ty gốc hoặc nhà sản xuất mà ứng dụng được thiết kế dành riêng cho họ. Trong khi đó, các cửa hàng ứng dụng bên thứ ba được định nghĩa là những cửa hàng không bao gồm Google Play Store và Apple App Store. Các cửa hàng bên thứ ba có thể tính cả các cửa hàng Amazon App Store vốn có quy mô nhỏ hơn nhiều, và các cửa hàng dành riêng cho thị trường Trung Quốc, như Huawei App Gallery và Tencent Appstore. >>> Hiểm họa rình rập khi bấm vào các liên kết trên YouTube Tham khảo: VPNOverview
Trojan do hacker kiểm soát giả dạng ứng dụng giáo dục
Chiến dịch “Schoolyard Bully” - một nhóm virus Trojan giả dạng ứng dụng giáo dục, với các nội dung như sách và các chủ đề học tập dành cho sinh viên - đã lây nhiễm hơn 300.000 nạn nhân, và được thiết kế đặc biệt để vơ vét các thông tin định danh Facebook. Dù mục tiêu của chiến dịch chủ yếu nằm ở Việt Nam, các nạn nhân bị dính Trojan lại trải rộng khắp 71 quốc gia khác nhau.
Chèn mã JavaScript thông qua trang đăng nhập Facebook
Cẩn trọng với các cửa hàng và ứng dụng bên thứ ba
