Ứng dụng Android độc hại giả mạo Google, Instagram, WhatsApp để đánh cắp thông tin xác thực

Các ứng dụng Android độc hại giả dạng Google, Instagram, Snapchat, WhatsApp và X (trước đây là Twitter) đã được phát hiện để đánh cắp thông tin đăng nhập của người dùng từ các thiết bị bị xâm nhập.

Nhóm nghiên cứu mối đe dọa SonicWall Capture Labs cho biết trong một báo cáo gần đây: “Phần mềm độc hại này sử dụng các biểu tượng ứng dụng Android nổi tiếng để đánh lừa người dùng và lừa nạn nhân cài đặt ứng dụng độc hại trên thiết bị của họ”.

Vectơ phân phối cho chiến dịch hiện chưa rõ ràng. Tuy nhiên, sau khi cài đặt ứng dụng trên điện thoại của người dùng, ứng dụng sẽ yêu cầu họ cấp cho ứng dụng quyền đối với các dịch vụ trợ năng và API quản trị viên thiết bị, một tính năng hiện không còn được dùng nữa để cung cấp các tính năng quản trị thiết bị ở cấp hệ thống.

Việc có được các quyền này cho phép ứng dụng giả mạo giành quyền kiểm soát thiết bị, giúp nạn nhân có thể thực hiện các hành động tùy ý, từ đánh cắp dữ liệu đến triển khai phần mềm độc hại mà nạn nhân không hề hay biết.

Phần mềm độc hại được thiết kế để thiết lập kết nối với máy chủ ra lệnh và kiểm soát (C2) để nhận lệnh thực thi, cho phép nó truy cập danh sách liên hệ, tin nhắn SMS, nhật ký cuộc gọi, danh sách các ứng dụng đã cài đặt; gửi tin nhắn SMS; mở các trang lừa đảo trên trình duyệt web và bật đèn pin của máy ảnh.

Các URL lừa đảo bắt chước các trang đăng nhập của các dịch vụ nổi tiếng như Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress và Yahoo.

Người phát ngôn của Google đã xác nhận với The Hacker News rằng Google Play Protect, tính năng chống phần mềm độc hại tích hợp của Android, tự động bảo vệ người dùng khỏi các ứng dụng chứa các phiên bản đã biết của phần mềm độc hại này.

Nó cũng theo sau việc phát hiện ra các chiến dịch phần mềm độc hại phân phối trojan ngân hàng Android như Coper, có khả năng thu thập thông tin nhạy cảm và hiển thị lớp phủ cửa sổ giả, đánh lừa người dùng vô tình cung cấp thông tin đăng nhập của họ.

Tuần trước, Trung tâm An ninh mạng Quốc gia Phần Lan (NCSC-FI) tiết lộ rằng các tin nhắn lừa đảo đang được sử dụng để hướng người dùng đến phần mềm độc hại Android nhằm đánh cắp dữ liệu ngân hàng.

Phần mềm độc hại dựa trên Android như Tambir và Dwphon cũng đã được phát hiện trong những tháng gần đây với nhiều tính năng thu thập thiết bị khác nhau, sau đó nhắm mục tiêu vào điện thoại di động của các nhà sản xuất thiết bị cầm tay Trung Quốc và chủ yếu dành cho thị trường Nga.

Kaspersky cho biết: “Dwphon là một thành phần của ứng dụng cập nhật hệ thống và thể hiện nhiều đặc điểm của phần mềm độc hại Android được cài đặt sẵn”.

“Đường lây nhiễm chính xác vẫn chưa rõ ràng, nhưng có giả định rằng ứng dụng bị nhiễm đã được tích hợp vào phần sụn do có thể xảy ra một cuộc tấn công chuỗi cung ứng.”

Dữ liệu đo từ xa được công ty an ninh mạng Nga phân tích cho thấy số người dùng Android bị tấn công bởi phần mềm độc hại ngân hàng đã tăng 32% so với năm trước, tăng từ 57.219 lên 75.521. Phần lớn các ca nhiễm bệnh đã được báo cáo ở Thổ Nhĩ Kỳ, Ả Rập Saudi, Tây Ban Nha, Thụy Sĩ và Ấn Độ.

Kaspersky lưu ý: “Mặc dù số lượng người dùng bị ảnh hưởng bởi phần mềm độc hại ngân hàng trên PC tiếp tục giảm, […] năm 2023 chứng kiến ​​số lượng người dùng gặp phải Trojan ngân hàng di động tăng đáng kể”.

Hương – Theo TheHackerNews