Mã độc FlyTrap dùng nhiều chiêu trò để dụ dỗ người dùng tiết lộ thông tin. Bạn muốn nhận mã giảm giá cho Netlifx hoặc Google AdWords? Hay bạn muốn bầu chọn cho đội bóng xuất sắc nhất? Hãy cẩn thận: các ứng dụng độc hại cung cấp các tiện ích mở rộng như vậy có thể ẩn giấu loại mã độc mới này.
Mã độc FlyTrap nguy hiểm thế nào?
Các nhà nghiên cứu của công ty bảo mật Zimperium đã phát hiện ra một Trojan trên Android mới có tên FlyTrap, lây lan cho hơn 10.000 nạn nhân thông qua các app bị “nhiễm độc” trên các cửa hàng ứng dụng của bên thứ ba, các ứng dụng được tải xuống và các tài khoản Facebook bị hack. (Bạn có thể tìm hiểu về Trojan là gì trong bài viết: Malware, Trojan, virus và worm là gì? Những khái niệm thường gặp mà không phải ai cũng hiểu rõ!)
Trong một báo cáo được đăng ngày 9/8 vừa rồi, nhóm nghiên cứu các mối đe dọa trên thiết bị di động zLabs của Zimperium cho biết rằng FlyTrap đã lây lan đến ít nhất 144 quốc gia kể từ tháng 3, thông qua các ứng dụng độc hại được phân phối qua Google Play Store và các chợ ứng dụng của bên thứ ba. Phần mềm độc hại này đã được truy vết tới hacker hoạt động tại Việt Nam và thuộc nhóm Trojan sử dụng các kỹ thuật xã hội để chiếm tài khoản Facebook.
Chiến dịch chiếm quyền điều khiển này ban đầu được phát tán thông qua Google Play cũng như các cửa hàng ứng dụng của bên thứ ba. Về phần mình, Google Play đã xóa các ứng dụng độc hại sau khi Zimperium cảnh báo. Tuy nhiên chúng vẫn đang được phân phối trên các cửa hàng ứng dụng không an toàn khác, cho thấy nguy cơ rủi ro của các ứng dụng được tải xuống đối với các thiết bị đầu cuối di động và dữ liệu của người dùng.
Các ứng dụng đã bị phát hiện chứa mã độc này là:
- GG Voucher (com.luxcarad.cardid)
- GG Voucher (com.free.voucher)
- GG Coupon Ads (com.free_coupon.gg_free_coupon)
- GG Voucher Ads (com.m_application.app_moi_6)
- Vote European Football (com.gardenguides.plantingfree)
- Chatfuel (com.ynsuper.chatfuel)
- Net Coupon (com.free_coupon.net_coupon)
- Net Coupon (com.movie.net_coupon)
- EURO 2021 Official (com.euro2021)
Điện thoại của bạn có thể bị nhiễm FlyTrap như thế nào?
Mã độc này núp bóng dưới nhiều hình thức khác nhau: mã giảm giá Netflix miễn phí, mã giảm giá Google AdWords, và bỏ phiếu cho đội bóng hoặc cầu thủ xuất sắc nhất. Chúng không chỉ hấp dẫn về nội dung mà còn có đồ họa chất lượng cao rất bắt mắt để che giấu ý đồ xấu phía sau.
Các nhà nghiên cứu của zLabs giải thích: Cũng giống như những chiêu trò dụ dỗ người dùng khác, đồ họa chất lượng cao và màn hình đăng nhập trông giống như thật là những chiến thuật phổ biến để khiến người dùng thực hiện các hành động có thể tiết lộ thông tin nhạy cảm. Khi bạn đăng nhập vào tài khoản chính thức của mình thông qua các ứng dụng này, Trojan FlyTrap sẽ chiếm đoạt các thông tin đó với mục đích xấu.
Các ứng dụng chứa mã độc thường yêu cầu người dùng phải đăng nhập bằng tài khoản Facebook để nhận được các lợi ích như mã giảm giá hoặc bỏ phiếu bầu chọn bóng đá. Tất nhiên sau đó sẽ chẳng có mã coupon hay cuộc bỏ phiếu nào cả, mà chúng chỉ nhằm lấy thông tin đăng nhập Facebook mà thôi.
Bước cuối cùng để trông có vẻ “bình thường” là các ứng dụng sẽ hiện một thông báo nói rằng phiếu hoặc mã giảm giá đã hết hạn và hết hiệu lực như dưới đây.
Sau khi người dùng Android đăng nhập Facebook, các ứng dụng chứa mã độc sẽ thu thập các thông tin chi tiết bao gồm:
- Tài khoản Facebook
- Địa điểm
- Địa chỉ email
- Địa chỉ IP
- Cookie và token được liên kết với tài khoản Facebook
Sau đó Trojan này sử dụng tài khoản của chính nạn nhân để tiếp tục phát tán, trông giống như chủ nhân tài khoản đó đang chia sẻ các bài đăng bình thường vậy. Chúng có thể gửi tin nhắn chứa mã độc đến bạn bè của nạn nhân, hoặc lan truyền thông tin sai lệch bằng cách sử dụng vị trí địa lý đã hack được.
Theo các nhà nghiên cứu, các kỹ thuật này có hiệu quả rất cao trong thế giới được kết nối kỹ thuật số như hiện nay và thường được tội phạm mạng sử dụng để phát tán phần mềm độc hại từ nạn nhân này sang nạn nhân khác.
Các mã độc tương tự như vậy bao gồm SilentFade – một chiến dịch có liên quan tới Trung Quốc đã tấn công nền tảng quảng cáo của Facebook trong nhiều năm và bòn rút 4 triệu USD từ tài khoản quảng cáo của người dùng, sử dụng các tài khoản bị hack để lan truyền quảng cáo độc hại, đánh cắp cookie của trình duyệt và hơn thế nữa.
Gần đây hơn, một phần mềm độc hại tương tự chuyên đánh cắp mật khẩu và cookie có tên là CopperStealer được phát hiện là đã xâm nhập các tài khoản Amazon, Apple, Google và Facebook kể từ năm 2019, sau đó sử dụng chúng cho các hoạt động tội phạm mạng.
Nhóm nghiên cứu zLabs đã đưa ra bản đồ dưới đây để minh họa 144 quốc gia mà FlyTrap đã tấn công, với hàng nghìn nạn nhân.
Các nhà nghiên cứu lưu ý rằng việc đánh cắp thông tin xác thực từ các thiết bị di động là không hề mới. Xét cho cùng, các thiết bị này thường chứa thông tin đăng nhập vào các tài khoản mạng xã hội, ứng dụng ngân hàng, công cụ doanh nghiệp, v.v. mà không được bảo vệ.
Làm thế nào để bảo vệ thiết bị Android của bạn khỏi các mối đe dọa như FlyTrap?
Richard Melick, giám đốc tiếp thị sản phẩm về bảo mật của Zimperium, nói rằng người dùng Android có thể giảm nguy cơ bị lây nhiễm bằng cách không cho phép cài đặt bất kỳ ứng dụng nào từ những nguồn không đáng tin cậy. Mặc dù chế độ này bị tắt theo mặc định trên hầu hết các thiết bị Android, nhưng các chiêu trò của hacker rất dễ lừa người dùng để cho phép cài đặt.
Để tắt các nguồn không xác định trên Android, bạn hãy vào phần Cài đặt, chọn Bảo mật và đảm bảo rằng mục Nguồn không xác định hoặc Không rõ nguồn gốc đã tắt.
Melick cũng khuyên người dùng nên bật chế độ xác thực đa yếu tố (MFA) cho tất cả các tài khoản mạng xã hội và bất kỳ tài khoản nào khác có quyền truy cập vào dữ liệu nhạy cảm và riêng tư. Mặc dù cách này sẽ không hoàn toàn ngăn chặn được sự tấn công của mã độc, nhưng nó giúp bổ sung thêm các lớp bảo mật, chẳng hạn như cảnh báo dựa trên địa lý. Đối với người dùng ở các nước khác thì dấu hiệu cảnh báo sẽ là tài khoản này đang cố gắng đăng nhập từ Việt Nam, Melick cho biết.
Nếu bạn nghi ngờ tài khoản của mình đã bị mã độc tấn công, Melick cho biết hãy làm theo hướng dẫn của Facebook: đăng xuất khỏi tất cả tài khoản trên tất cả các thiết bị, ngay lập tức thay đổi mật khẩu và bật MFA.
Tóm lại lời khuyên của Melick là hãy luôn nghi ngờ các ứng dụng hấp dẫn trên mạng. Nếu bạn được yêu cầu kết nối tài khoản mạng xã hội để có quyền truy cập vào ứng dụng thì hãy dừng lại và tự hỏi tại sao lại như vậy. Ứng dụng đó có thể sử dụng dữ liệu của bạn để làm gì? Họ có thể làm gì với tài khoản của bạn? Họ có thực sự cần dữ liệu để cung cấp dịch vụ cho bạn hay không?
Nếu sơ suất, dữ liệu của bạn có thể dễ dàng bị đánh cắp và sử dụng với mục đích xấu bất cứ lúc nào.
Mời bạn xem thêm những bài viết liên quan của BlogAnChoi:
- Ransomware là gì? Đối phó với ransomware ra sao để giảm thiểu thiệt hại?
- Firewall và antivirus khác nhau như thế nào? Có cần trang bị cả hai không?
Hãy đón xem BlogAnChoi mỗi ngày để nhận được nhiều thông tin thú vị cho cuộc sống bạn nhé!
