trojan là gì – BlogAnChoi

Mã độc FlyTrap có thể bắt nguồn từ Việt Nam đã tấn công hàng nghìn tài khoản Facebook trên khắp thế giới – Làm sao để phòng tránh?

2021-08-16T12:35:59Z

Mã độc FlyTrap dùng nhiều chiêu trò để dụ dỗ người dùng tiết lộ thông tin. Bạn muốn nhận mã giảm giá cho Netlifx hoặc Google AdWords? Hay bạn muốn bầu chọn cho đội bóng xuất sắc nhất? Hãy cẩn thận: các ứng dụng độc hại cung cấp các tiện ích mở rộng như vậy có thể ẩn giấu loại mã độc mới này.

Mã độc FlyTrap nguy hiểm thế nào?

Các nhà nghiên cứu của công ty bảo mật Zimperium đã phát hiện ra một Trojan trên Android mới có tên FlyTrap, lây lan cho hơn 10.000 nạn nhân thông qua các app bị “nhiễm độc” trên các cửa hàng ứng dụng của bên thứ ba, các ứng dụng được tải xuống và các tài khoản Facebook bị hack. (Bạn có thể tìm hiểu về Trojan là gì trong bài viết: Malware, Trojan, virus và worm là gì? Những khái niệm thường gặp mà không phải ai cũng hiểu rõ!)

Mã độc FlyTrap được phát hiện bởi công ty Zimperium (Ảnh: Internet).

Trong một báo cáo được đăng ngày 9/8 vừa rồi, nhóm nghiên cứu các mối đe dọa trên thiết bị di động zLabs của Zimperium cho biết rằng FlyTrap đã lây lan đến ít nhất 144 quốc gia kể từ tháng 3, thông qua các ứng dụng độc hại được phân phối qua Google Play Store và các chợ ứng dụng của bên thứ ba. Phần mềm độc hại này đã được truy vết tới hacker hoạt động tại Việt Nam và thuộc nhóm Trojan sử dụng các kỹ thuật xã hội để chiếm tài khoản Facebook.

Chiến dịch chiếm quyền điều khiển này ban đầu được phát tán thông qua Google Play cũng như các cửa hàng ứng dụng của bên thứ ba. Về phần mình, Google Play đã xóa các ứng dụng độc hại sau khi Zimperium cảnh báo. Tuy nhiên chúng vẫn đang được phân phối trên các cửa hàng ứng dụng không an toàn khác, cho thấy nguy cơ rủi ro của các ứng dụng được tải xuống đối với các thiết bị đầu cuối di động và dữ liệu của người dùng.

Cái tên FlyTrap có nghĩa là cây bẫy ruồi (Ảnh: Internet).

Các ứng dụng đã bị phát hiện chứa mã độc này là:

GG Voucher (com.luxcarad.cardid)
GG Voucher (com.free.voucher)
GG Coupon Ads (com.free_coupon.gg_free_coupon)
GG Voucher Ads (com.m_application.app_moi_6)
Vote European Football (com.gardenguides.plantingfree)
Chatfuel (com.ynsuper.chatfuel)
Net Coupon (com.free_coupon.net_coupon)
Net Coupon (com.movie.net_coupon)
EURO 2021 Official (com.euro2021)

Điện thoại của bạn có thể bị nhiễm FlyTrap như thế nào?

Mã độc này núp bóng dưới nhiều hình thức khác nhau: mã giảm giá Netflix miễn phí, mã giảm giá Google AdWords, và bỏ phiếu cho đội bóng hoặc cầu thủ xuất sắc nhất. Chúng không chỉ hấp dẫn về nội dung mà còn có đồ họa chất lượng cao rất bắt mắt để che giấu ý đồ xấu phía sau.

Một trong những ứng dụng mã giảm giá Netflix bị phát hiện chứa mã độc (Ảnh: Internet).

Các nhà nghiên cứu của zLabs giải thích: Cũng giống như những chiêu trò dụ dỗ người dùng khác, đồ họa chất lượng cao và màn hình đăng nhập trông giống như thật là những chiến thuật phổ biến để khiến người dùng thực hiện các hành động có thể tiết lộ thông tin nhạy cảm. Khi bạn đăng nhập vào tài khoản chính thức của mình thông qua các ứng dụng này, Trojan FlyTrap sẽ chiếm đoạt các thông tin đó với mục đích xấu.

Các ứng dụng chứa mã độc thường yêu cầu người dùng phải đăng nhập bằng tài khoản Facebook để nhận được các lợi ích như mã giảm giá hoặc bỏ phiếu bầu chọn bóng đá. Tất nhiên sau đó sẽ chẳng có mã coupon hay cuộc bỏ phiếu nào cả, mà chúng chỉ nhằm lấy thông tin đăng nhập Facebook mà thôi.

Ứng dụng yêu cầu đăng nhập Facebook để lấy cắp thông tin (Ảnh: Internet).

Bước cuối cùng để trông có vẻ “bình thường” là các ứng dụng sẽ hiện một thông báo nói rằng phiếu hoặc mã giảm giá đã hết hạn và hết hiệu lực như dưới đây.

Dòng thông báo nói rằng mã giảm giá đã hết hạn (Ảnh: Internet).

Sau khi người dùng Android đăng nhập Facebook, các ứng dụng chứa mã độc sẽ thu thập các thông tin chi tiết bao gồm:

Tài khoản Facebook
Địa điểm
Địa chỉ email
Địa chỉ IP
Cookie và token được liên kết với tài khoản Facebook

Sau đó Trojan này sử dụng tài khoản của chính nạn nhân để tiếp tục phát tán, trông giống như chủ nhân tài khoản đó đang chia sẻ các bài đăng bình thường vậy. Chúng có thể gửi tin nhắn chứa mã độc đến bạn bè của nạn nhân, hoặc lan truyền thông tin sai lệch bằng cách sử dụng vị trí địa lý đã hack được.

Theo các nhà nghiên cứu, các kỹ thuật này có hiệu quả rất cao trong thế giới được kết nối kỹ thuật số như hiện nay và thường được tội phạm mạng sử dụng để phát tán phần mềm độc hại từ nạn nhân này sang nạn nhân khác.

Ngày càng có nhiều loại virus được tạo ra để tấn công vào điện thoại thông minh (Ảnh: Internet).

Các mã độc tương tự như vậy bao gồm SilentFade – một chiến dịch có liên quan tới Trung Quốc đã tấn công nền tảng quảng cáo của Facebook trong nhiều năm và bòn rút 4 triệu USD từ tài khoản quảng cáo của người dùng, sử dụng các tài khoản bị hack để lan truyền quảng cáo độc hại, đánh cắp cookie của trình duyệt và hơn thế nữa.

Gần đây hơn, một phần mềm độc hại tương tự chuyên đánh cắp mật khẩu và cookie có tên là CopperStealer được phát hiện là đã xâm nhập các tài khoản Amazon, Apple, Google và Facebook kể từ năm 2019, sau đó sử dụng chúng cho các hoạt động tội phạm mạng.

Nhóm nghiên cứu zLabs đã đưa ra bản đồ dưới đây để minh họa 144 quốc gia mà FlyTrap đã tấn công, với hàng nghìn nạn nhân.

Các quốc gia có tài khoản bị FlyTrap tấn công (Ảnh: Internet).

Các nhà nghiên cứu lưu ý rằng việc đánh cắp thông tin xác thực từ các thiết bị di động là không hề mới. Xét cho cùng, các thiết bị này thường chứa thông tin đăng nhập vào các tài khoản mạng xã hội, ứng dụng ngân hàng, công cụ doanh nghiệp, v.v. mà không được bảo vệ.

Làm thế nào để bảo vệ thiết bị Android của bạn khỏi các mối đe dọa như FlyTrap?

Richard Melick, giám đốc tiếp thị sản phẩm về bảo mật của Zimperium, nói rằng người dùng Android có thể giảm nguy cơ bị lây nhiễm bằng cách không cho phép cài đặt bất kỳ ứng dụng nào từ những nguồn không đáng tin cậy. Mặc dù chế độ này bị tắt theo mặc định trên hầu hết các thiết bị Android, nhưng các chiêu trò của hacker rất dễ lừa người dùng để cho phép cài đặt.

Chế độ cài đặt ứng dụng không rõ nguồn gốc luôn bị tắt theo mặc định (Ảnh: Internet).

Để tắt các nguồn không xác định trên Android, bạn hãy vào phần Cài đặt, chọn Bảo mật và đảm bảo rằng mục Nguồn không xác định hoặc Không rõ nguồn gốc đã tắt.

Melick cũng khuyên người dùng nên bật chế độ xác thực đa yếu tố (MFA) cho tất cả các tài khoản mạng xã hội và bất kỳ tài khoản nào khác có quyền truy cập vào dữ liệu nhạy cảm và riêng tư. Mặc dù cách này sẽ không hoàn toàn ngăn chặn được sự tấn công của mã độc, nhưng nó giúp bổ sung thêm các lớp bảo mật, chẳng hạn như cảnh báo dựa trên địa lý. Đối với người dùng ở các nước khác thì dấu hiệu cảnh báo sẽ là tài khoản này đang cố gắng đăng nhập từ Việt Nam, Melick cho biết.

Facebook có thể cảnh báo nếu có hoạt động đăng nhập bất thường (Ảnh: Internet).

Nếu bạn nghi ngờ tài khoản của mình đã bị mã độc tấn công, Melick cho biết hãy làm theo hướng dẫn của Facebook: đăng xuất khỏi tất cả tài khoản trên tất cả các thiết bị, ngay lập tức thay đổi mật khẩu và bật MFA.

Tóm lại lời khuyên của Melick là hãy luôn nghi ngờ các ứng dụng hấp dẫn trên mạng. Nếu bạn được yêu cầu kết nối tài khoản mạng xã hội để có quyền truy cập vào ứng dụng thì hãy dừng lại và tự hỏi tại sao lại như vậy. Ứng dụng đó có thể sử dụng dữ liệu của bạn để làm gì? Họ có thể làm gì với tài khoản của bạn? Họ có thực sự cần dữ liệu để cung cấp dịch vụ cho bạn hay không?

Nếu sơ suất, dữ liệu của bạn có thể dễ dàng bị đánh cắp và sử dụng với mục đích xấu bất cứ lúc nào.

Mời bạn xem thêm những bài viết liên quan của BlogAnChoi:

Hãy đón xem BlogAnChoi mỗi ngày để nhận được nhiều thông tin thú vị cho cuộc sống bạn nhé!

Malware, Trojan, virus và worm là gì? Những khái niệm thường gặp mà không phải ai cũng hiểu rõ!

2021-07-13T11:53:15Z

Virus máy tính không xa lạ gì với chúng ta, nhưng còn malware, Trojan hay worm thì sao? Bạn đã hiểu rõ về những mối đe dọa trên không gian mạng này chưa? Hãy cùng BlogAnChoi tìm hiểu nhé!

Có rất nhiều thuật ngữ chuyên môn được sử dụng trong lĩnh vực bảo mật máy tính. Nhiều khái niệm trong số đó có thể hơi khó để giải thích, làm cho nhiều người sử dụng chúng không chính xác. Một trong những nhóm thuật ngữ bị hiểu sai nhiều nhất là các khái niệm về phần mềm độc hại, phân biệt với các loại lỗ hổng và mối đe dọa an ninh mạng khác.

Sự khác biệt giữa các loại mã độc này là gì? (Ảnh: Internet).

Trước tiên chúng ta sẽ tìm hiểu xem thế nào là malware, Trojan, virus và worm, và điểm khác nhau giữa chúng là gì nhé. Dưới đây là định nghĩa cơ bản về các thuật ngữ mà bạn rất hay bắt gặp khi nói đến vấn đề bảo mật và an ninh mạng.

Malware (phần mềm độc hại)

Đây là một khái niệm phổ biến, bao gồm tất cả các loại phần mềm với mục đích xấu – không phải phần mềm bị lỗi, không phải các chương trình bạn không yêu thích, mà là những phần mềm thực sự được viết ra với mục đích gây hại cho người khác.

Malware là nỗi ám ảnh của người dùng mạng (Ảnh: Internet).

Virus

Đây là một loại malware đặc biệt có đặc tính tự phát tán sau khi hoạt động lần đầu. Virus khác với các loại phần mềm độc hại khác vì nó có thể hoạt động giống như một loại ký sinh trùng bám vào các file trên máy tính của bạn, hoặc cũng có thể “sống” độc lập và tìm kiếm các máy khác để lây nhiễm.

Worm (sâu)

Tại sao lại gọi là “sâu” mà không phải “sán”? Bởi vì loại phần mềm độc hại này không giống như sán ký sinh mà có thể tự di chuyển khắp nơi. Có thể hiểu chúng là những virus sống tự do, không bám vào vật chủ như ký sinh trùng mà “bò” loanh quanh tìm kiếm các máy khác để lây nhiễm.

Worm có đặc tính tự di chuyển để tìm “con mồi” (Ảnh: Internet).

Trojan

Bạn còn nhớ câu chuyện về con ngựa gỗ thành Troy khổng lồ chứa đầy những binh lính trốn bên trong chứ? Đây là phiên bản tương tự trong lĩnh vực máy tính: bạn chạy một file thoạt nhìn rất thú vị hoặc quan trọng, nhưng hóa ra nó chẳng hề tốt đẹp chút nào mà chỉ gây hại cho máy tính của bạn mà thôi.

Con ngựa Trojan nhìn bề ngoài tưởng như vô hại nhưng bên trong chứa đầy mã độc (Ảnh: Internet).

Vulnerability (lỗ hổng)

Máy tính dù có thông minh đến đâu thì cũng được lập trình bởi con người. Con người rất dễ mắc sai lầm và đôi khi quên một vài chỗ nhỏ nhặt, và những sai lầm đó có thể dẫn đến hành vi bất thường của các chương trình máy tính.

Hành vi bất thường này sau đó có thể bị lợi dụng để tạo ra các lỗ hổng mà malware hoặc tin tặc có thể khai thác và xâm nhập vào máy tính của bạn dễ dàng hơn. Lỗ hổng đó được gọi là vulnerability.

Lỗ hổng bảo mật là con đường để hacker tấn công vào máy tính (Ảnh: Internet).

Exploit (khai thác)

Những điểm bất thường được sử dụng để tạo lỗ hổng như trên thường đòi hỏi phải sử dụng một chuỗi hành động hoặc văn bản cụ thể để tạo ra các điều kiện phù hợp. Để malware hoặc hacker có thể sử dụng được, chúng phải được đưa vào dạng mã, khi đó được gọi là mã khai thác (exploit code).

Vậy những khái niệm này có ý nghĩa như thế nào trong đời thực?

Malware là thuật ngữ rộng, bao gồm cả virus, worm, Trojan, và thậm chí cả mã khai thác. Nhưng lỗ hổng thì không thuộc malware.

Virus và worm là tập hợp con của malware (Ảnh: Internet).

Sự khác biệt giữa malware và lỗ hổng cũng giống như sự khác biệt giữa “có mặt” và “vắng mặt”. Nói cách khác, malware là một thứ hiện hữu, bạn có thể nhìn thấy nó, tương tác với nó và phân tích nó. Trong khi đó lỗ hổng bảo mật là một điểm yếu trong các phần mềm thông thường mà malware hoặc tin tặc có thể vượt qua và gây hại cho máy tính.

Flashback là một ví dụ về phần mềm độc hại đã khai thác lỗ hổng để chiếm quyền điều khiển máy tính của mọi người. Các tác giả của nó đã đưa mã khai thác độc hại vào các trang web thông thường, sau đó mã này sử dụng một lỗ hổng trong Java để tự cài đặt chính nó vào máy tính mà người dùng không hề hay biết.

Virus là khái niệm hẹp hơn một chút, bao gồm những phần mềm độc hại có khả năng tự lây lan mà không cần sự can thiệp của con người ngoài cú nhấp chuột ban đầu. Mã virus có thể lây lan theo kiểu ký sinh, nghĩa là tự gắn vào các file khác và tiếp tục lây nhiễm ngày càng nhiều file hơn mỗi khi file bị nhiễm được chạy.

Virus có thể phá hoại máy tính (bao gồm cả hành vi gián điệp) hoặc có thể chỉ được lập trình để lây lan mà không gây ra thiệt hại gì. Ngày nay loại virus “hiền lành” như vậy khá hiếm, vì chúng vốn được tạo ra để trục lợi các nạn nhân.

Virus máy tính ngày càng nguy hiểm và gây nhiều thiệt hại cho người dùng (Ảnh: Internet).

Virus cần có các file đóng vai trò “con mồi” để lây lan. Một khả năng khác là nó có thể lây lan dưới dạng file tĩnh, độc lập. File độc lập này tự gửi chính nó qua các kết nối mạng được chia sẻ, bằng cách tự đính kèm vào email hoặc tin nhắn, hoặc thậm chí chỉ cần gửi đường link trong email hoặc tin nhắn để nạn nhân tải xuống – trong trường hợp đó nó được gọi là worm.

Sự khác biệt giữa worm và Trojan thực ra không quan trọng lắm nếu bạn là nạn nhân của chúng. Những người từng bị nhiễm worm email Melissa trước đây có lẽ sẽ hiểu sự khác biệt: họ không chỉ lo lắng về việc máy tính của mình bị phá hoại, mà còn phải lo lắng về 50 người đầu tiên trong danh sách địa chỉ email của họ, những người được gửi một bản sao của worm.

Worm Melissa xuất hiện năm 1999 lây nhiễm cho hàng trăm ngàn máy tính (Ảnh: Internet).

Trong khi đó Trojan thực sự chỉ có một mục đích duy nhất, đó là gây thiệt hại cho nạn nhân. Chúng thường có chức năng phá hoại giống hệt một số loại virus, chỉ thiếu khả năng tự lây lan mà thôi. Do đó Trojan phải được “rải” ở khắp nơi mà mọi người có thể bắt gặp chúng (giống như Flashback), hoặc phải được gửi trực tiếp tới nạn nhân (các cuộc tấn công có chủ đích như Imuler).

Sự phức tạp này khiến một số người dùng từ “virus Trojan”, mặc dù thực ra hai thuật ngữ đó loại trừ lẫn nhau.

Trên đây là những điều cơ bản về cách phân biệt virus máy tính, worm và Trojan. Hãy luôn cẩn thận và cảnh giác mỗi khi lướt web để đảm bảo sự an toàn cho máy tính của mình nhé!

Mời bạn xem thêm những bài viết liên quan của BlogAnChoi:

Hãy đón xem BlogAnChoi mỗi ngày để nhận được nhiều thông tin thú vị cho cuộc sống bạn nhé!