Nhiều ứng dụng lấy cắp mật khẩu Facebook trên Android Play Store

Mới đây, các chuyên gia bảo mật đã phát hiện hàng loạt nhiều ứng dụng được thiết kế nhằm đánh cắp mật khẩu Facebook của người dùng trên cửa hàng ứng dụng Google Play.

Qua bao nỗ lực mà Google thực hiện trong năm qua nhằm phòng chống mã độc trên Google Play, các ứng dụng độc hại bằng cách nào đó đã có thể qua mặt được hàng rào bảo mật này và vẫn tồn tại trên cửa hàng Google Play. Các chuyên gia bảo mật đã phát hiện ra một loại mã độc mới với tên là GhostTeam trong ít nhất 56 ứng dụng trên Google Play Store được thiết kế nhằm mục đích đánh cắp dữ liệu đăng nhập Facebook của nạn nhân và hiển thị quảng cáo pop up.

Được phát hiện bởi hai đơn vị bảo mật Trend Micro và Avast, các ứng dụng độc hại này giả danh các công cụ hỗ trợ khác nhau (như đèn pin, máy quét QR và la bàn) hay các công cụ cải thiện hiệu suất hoạt động (như chuyển tập tin và dọn rác), giải trí, các ứng dụng đời sống và tải video.

Như hầu hết các ứng dụng độc hại khác, những ứng dụng Android này bản chất không chứ bất kỳ mã độc hại nào, nhờ đó mà các ứng dụng này có thể dễ dàng vượt mặt hàng rào bảo mật của Google Play Store.

Một khi đã cài đặt ứng dụng, nó sẽ xác nhận xem thiết bị có phải là trình giả lập hay môi trường ảo hay không, sau đó mà tải các tài nguyên mã độc, yêu cầu nạn nhân cấp quyền quản trị để có thể tồn tại lâu dài trên thiết bị.

Ứng dụng tải video thu thập các thông tin về thiết bị như ID của thiết bị, vị trí, ngôn ngữ và các thông số hiển thị. Thông tin vị trí của thiết bị được thu thập qua địa chỉ IP sẽ có thể được sử dụng khi liên lạc các dịch vụ trực tuyến cần cung cấp thông tin địa lý.

Và đến khi người dùng mở ứng dụng Facebook của họ, mã độc sẽ ngay lập tức thông báo người dùng xác nhận tài khoản 1 lần nữa bằng cách đăng nhập lại Facebook. Thay vì khai thác lỗ hổng có trên các hệ thống và ứng dụng khác, mã độc này làm một màn hình giả mạo cổ điển để thực hiện thủ thuật lừa đảo đánh cắp tài khoản Facebook.

Những ứng dụng giả mạo này đơn giản là chỉ cần mở một thành phần WebView có giao diện tương đối giống trang đăng nhập Facebook để yêu cầu người dùng đăng nhập. Ngay sau đó tài khoản và mật khẩu Facebook và gửi vào mạng quản lý từ xa của hacker.

Các chuyên gia bảo mật khuyến cáo rằng những thông tin tài khoản Facebook bị đánh cắp này có thể được tái sử dụng bằng cách lây lan mã độc hoặc truyền bá tin tức giả khắp nơi. Họ tin rằng GhostTeam được phát triển và đăng lên Play Store bởi một nhà phát triển ứng dụng người Việt, do họ tìm thấy ngôn ngữ tiếng Việt bên trong mã.

Theo các chuyên gia, hầu hết người dùng bị ảnh hưởng bởi mã độc GhostTeam bao gồm người dùng ở Ấn độ, Indonesia, Brazin, Việt Nam và Philippines.

Ngoài việt đánh cắp thông tin Facebook, mã độc Ghost Team còn hiển thị quảng cáo pop up bằng cách giữ cho thiết bị luôn mở và ngầm chiếu các quảng cáo không mong muốn.

Tất cả ứng dụng này đã được gở bỏ khỏi Google Play Store sau khi được thông báo. Tuy nhiên, những người đã cài đặt một trong những ứng dụng này nên ngay lập tức bật tính năng Google Play Protect để đảm bảo an toàn.

Bên cạnh đó, người dùng nên sử dụng một giải pháp ứng dụng diệt virus an toàn trên điện thoại di động nhằm nhanh chóng phát hiện và ngăn chặn các nguy cơ trước khi chúng lây nhiễm cho thiết bị và luôn cập nhật phiên bản mới nhất cho hệ thống và ứng dụng của mình.

Minh Hương