Google đã rất nỗ lực, nhưng các ứng dụng độc hại lúc nào cũng có trên cửa hàng Play Store. Và lần này, các nhà nghiên cứu an ninh đã phát hiện ra malware mới có tên là GhostTeam.
Malware này được thiết kế để lấy cắp mật khẩu Facebook và hiển thị quảng cáo pop-up liên tục cho nạn nhân. Hai công ty an ninh mạng Trend Micro và Avast đã phát hiện ra malware GhostTeam ngụy trang bên trong nhiều tiện ích đa dạng như đèn pin, quét mã QR, tăng hiệu năng, giải trí và các ứng dụng hỗ trợ tải video.
Hầu hết các ứng dụng trên nền tảng Android không có mã độc. Đó là lí do vì sao chúng luôn tồn tại trên Play Store chính thức của Google.
Khi được cài đặt, ứng dụng sẽ xác nhận xem thiết bị có phải trình mô phỏng hoặc máy ảo hay không, sau đó chúng tải mã độc xuống. Nó sẽ thúc nạn nhân chấp thuận quyền quản lý để tồn tại được lâu trong thiết bị.
Avast cho biết: “Ứng dụng Downloader thu thập thông tin về thiết bị như ID, vị trí, ngôn ngữ và thông số hiển thị. Vị trí của thiết bị thu từ địa chỉ IP được sử dụng khi liên hệ với các dịch vụ trực tuyến cung cấp thông tin vị trí địa lý.”
Các ứng dụng độc hại lấy cắp mật khẩu Facebook nạn nhân thế nào?
Khi nạn nhân vừa mở Facebook, malware ngay lập tức sẽ thúc nạn nhân xác minh tài khoản Facebook của họ lại lần nữa. Thay vì khai thác các lỗ hổng của hệ thống hay ứng dụng, nó chỉ sử dụng phương thức “phishing” thông thường để đạt được mục đích.
Các ứng dụng giả mạo này đơn giản chỉ cần mở một màn hình Webview giống hệt màn hình đăng nhập Facebook. Mã WebView đánh cắp tên người dùng Facebook, mật khẩu của nạn nhân rồi gửi chúng tới một máy chủ của hacker.
Avast cho biết thêm: “Điều này có khả năng do các nhà phát triển ứng dụng dùng các trình duyệt web nhúng trong ứng dụng của họ thay vì mở một trang ở trình duyệt web riêng”.
Các nhà nghiên cứu của Trend Micro cũng cảnh báo rằng các thông tin lấy cắp được dùng để phát tán malware khác nguy hiểm hơn, hoặc tích lũy một đội truyền thông xã hội ‘xác sống’ để phát tán các tin giả mạo hoặc khai thác Cryptocurrency.
Tài khoản Facebook bị đánh cắp cũng có thể tiết lộ nhiều thông tin về tài chính và cá nhân khác, các thông tin này sau đó có thể được bán ở các thị trường ngầm.
Hai công ty bảo mật tin rằng GhostTeam đã được phát triển và tải lên Play Store bởi một nhà phát triển Việt Nam do có sử dụng tiếng Việt trong mã.
Hầu hết người dùng bị ảnh hưởng bởi phần mềm GhostTeam được báo cáo là cư trú ở Ấn Độ, Indonesia, Brazil, Việt Nam và Philippines.
Theo TheHackerNews