Cảnh báo! Phần mềm độc hại Android mới tấn công hàng nghìn tài khoản Facebook

Một trojan Android mới đã bị phát hiện xâm nhập tài khoản Facebook của hơn 10.000 người dùng ở ít nhất 144 quốc gia kể từ tháng 3 năm 2021 thông qua các ứng dụng gian lận được phân phối qua Cửa hàng Google Play và các chợ ứng dụng của bên thứ ba khác.

Được mệnh danh là "FlyTrap", phần mềm độc hại không có giấy tờ trước đây được cho là một phần của họ trojan sử dụng các thủ thuật kỹ thuật xã hội để xâm nhập tài khoản Facebook như một phần của chiến dịch chiếm quyền điều khiển phiên do các phần tử độc hại hoạt động bên ngoài Việt Nam tổ chức, theo một báo cáo được công bố bởi Zimperium's zLabs hôm nay và được chia sẻ với The Hacker News.

Nhà nghiên cứu phần mềm độc hại Zimperium, Aazim Yaswant, cho biết mặc dù 9 ứng dụng vi phạm đã bị xóa khỏi Google Play, nhưng chúng vẫn tiếp tục có sẵn trong các cửa hàng ứng dụng của bên thứ ba, "làm nổi bật nguy cơ các ứng dụng truyền tải tới các thiết bị đầu cuối di động và dữ liệu người dùng". Danh sách các ứng dụng như sau:

GG Voucher (com.luxcarad.cardid)

Vote European Football (com.gardenguides.plantingfree)

GG Coupon Ads (com.free_coupon.gg_free_coupon)

GG Voucher Ads (com.m_application.app_moi_6)

GG Voucher (com.free.voucher)

Chatfuel (com.ynsuper.chatfuel)

Net Coupon (com.free_coupon.net_coupon)

Net Coupon (com.movie.net_coupon)

EURO 2021 Official (com.euro2021)

Các ứng dụng độc hại tuyên bố cung cấp mã phiếu thưởng Netflix và Google AdWords và cho phép người dùng bình chọn cho các đội và cầu thủ yêu thích của họ tại UEFA EURO 2020, diễn ra từ ngày 11 tháng 6 đến ngày 11 tháng 7 năm 2021, chỉ với điều kiện là họ đăng nhập bằng tài khoản Facebook của mình để bỏ phiếu của họ, hoặc thu thập mã phiếu giảm giá hoặc các khoản tín dụng.

Sau khi người dùng đăng nhập vào tài khoản, phần mềm độc hại được trang bị để lấy cắp ID Facebook, vị trí, địa chỉ email, địa chỉ IP của nạn nhân và các cookie và mã thông báo được liên kết với tài khoản Facebook, do đó cho phép kẻ đe dọa thực hiện các chiến dịch thông tin sai lệch bằng cách sử dụng chi tiết vị trí địa lý của nạn nhân hoặc lan truyền phần mềm độc hại sâu hơn thông qua các kỹ thuật xã hội bằng cách gửi tin nhắn cá nhân có chứa liên kết đến trojan.

Điều này đạt được bằng cách sử dụng một kỹ thuật được gọi là chèn JavaScript, trong đó "ứng dụng mở URL hợp pháp bên trong WebView được định cấu hình với khả năng đưa mã JavaScript và trích xuất tất cả thông tin cần thiết như cookie, chi tiết tài khoản người dùng, vị trí và địa chỉ IP bằng đưa mã [JavaScript] độc hại vào, "Yaswant giải thích.

Trong khi dữ liệu lấy ra được lưu trữ trên cơ sở hạ tầng lệnh và kiểm soát (C2), các lỗi bảo mật được tìm thấy trong máy chủ C2 có thể bị khai thác để làm lộ toàn bộ cơ sở dữ liệu cookie phiên bị đánh cắp cho bất kỳ ai trên internet, do đó khiến nạn nhân gặp nhiều rủi ro hơn .

Yashwant cho biết: “Các tác nhân đe dọa độc hại đang tận dụng quan niệm sai lầm của người dùng rằng việc đăng nhập vào đúng miền luôn an toàn bất kể ứng dụng được sử dụng để đăng nhập. "Các miền được nhắm mục tiêu là các nền tảng truyền thông xã hội phổ biến và chiến dịch này đã đặc biệt hiệu quả trong việc thu thập dữ liệu phiên truyền thông xã hội của người dùng từ 144 quốc gia. Những tài khoản này có thể được sử dụng như một mạng botnet cho các mục đích khác nhau: từ việc thúc đẩy sự phổ biến của các trang / trang web / sản phẩm để truyền bá thông tin sai lệch hoặc tuyên truyền chính trị. "

Hương – Theo TheHackerNews