Phát hiện mã độc lấy cắp tài khoản Facebook nghi có nguồn gốc từ Việt Nam

Các chuyên gia của hai hãng bảo mật Trend Micro và Avast đã phát hiện một loại mã độc có tên gọi GhostTeam được chèn vào bên trong 53 ứng dụng đang được chia sẻ trên kho ứng dụng Google Play dành cho nền tảng Android.

Các chuyên gia bảo mật cho biết những ứng dụng chứa mã độc này đã từng được chia sẻ lên Google Play từ tháng 4/2017 nhưng chỉ mới được phát hiện gần đây. Trong đó có những ứng dụng đã có hơn 100.000 lượt tải và sử dụng.

Đáng chú ý trong số 53 ứng dụng này có rất nhiều ứng dụng của các nhà phát triển Việt Nam và có tên gọi hoàn toàn bằng tiếng Việt, chẳng hạn ứng dụng “Lịch Vạn Niên”, “Lịch Vạn Sự”, “Lịch Âm”, ứng dụng la bàn, máy quét mã QR, ứng dụng tối ưu hóa và dọn rác…

Một trong các ứng dụng có chứa mã độc được chia sẻ trên kho ứng dụng Google Play với hơn 100.000 lượt tải

Cách hoạt động của mã độc GhostTeam phù hợp với kỹ thuật mới nhất mà các tin tặc đang sử dụng để phát tán phần mềm độc hại trên nền tảng Android. Theo đó các ứng dụng được tin tặc phát triển là các ứng dụng sạch để qua mắt Google và thiết bị Android, tuy nhiên sau khi cài đặt lên thiết bị của người dùng, ứng dụng này sẽ kết nối với máy chủ ở bên ngoài để tải thêm một ứng dụng phụ thứ hai, đây mới chính là ứng dụng có chứa mã độc hại.

Ứng dụng thứ hai này thường được ngụy trang dưới dạng ứng dụng cấp hệ thống. Tin tặc sẽ sử dụng cảnh báo bảo mật giả mạo hiển thị trên ứng dụng được cài đặt ban đầu để lừa người dùng cài đặt thêm ứng dụng phụ thứ hai này và giành quyền quản trị.

Khi ứng dụng chứa mã độc chiếm được quyền quản trị trên thiết bị, mã độc sẽ bắt đầu hiển thị các quảng cáo trên smartphone của người dùng. Không dừng lại ở đó, các chuyên gia bảo mật cho biết mã độc GhostTeam cũng sẽ ăn cắp thông tin đăng nhập của tài khoản Facebook. Đáng chú ý mã độc này có thể đánh cắp dữ liệu trực tiếp từ ứng dụng Facebook trên smartphone, thay vì tạo ra trang giả mạo để người dùng đăng nhập vào tài khoản Facebook của mình rồi mới đánh cắp.

Mã độc này sẽ phát hiện khi người dùng mở ứng dụng Facebook, sau đó chờ khi người dùng mở ra trang đăng nhập Facebook từ bên trong một thành phần trình duyệt web di động trên smartphone. Mã độc GhostTeam sẽ tự động tải những đoạn mã JavaScript độc hại để lấy cắp thông tin tài khoản Facebook ngay khi người dùng đăng nhập tài khoản lên trình duyệt web, sau đó gửi các thông tin này ra máy chủ bên ngoài cho hacker đang nắm giữ.

Theo các chuyên gia bảo mật của Trend Micro và Avast thì có vẻ như những ứng dụng độc hại có chứa mã độc GhostTeam đều được tạo ra bởi những tin tặc tại Việt Nam. Nhiều ứng dụng độc hại này có ngôn ngữ mặc định là tiếng Việt, với phần giới thiệu về ứng dụng trên Google Play là tiếng Việt và thậm chí các ứng dụng này liên kết với những máy chủ đặt tại Việt Nam.

Tỷ lệ các quốc gia bị phát tán và lây nhiễm mã độc GhostTeam

Các chuyên gia bảo mật cũng cho biết nhiều ứng dụng chứa mã độc đã có hơn 100.000 lượt tải về trên Google Play. Số người bị nhiễm loại mã độc này chủ yếu tại Ấn Độ (30%), Indonesia (24%), Brazil (16%) và cả Việt Nam (10%)...

Các chuyên gia bảo mật đã cảnh báo với Google về những ứng dụng có chứa mã độc và Google đã xóa bỏ toàn bộ 53 ứng dụng này, tuy nhiên các chuyên gia cảnh báo một số ứng dụng hiện vẫn đang được sử dụng trên smartphone của người dùng.

Bạn có thể xem danh sách toàn bộ 53 ứng dụng có chứa mã độc được hãng bảo mật Trend Micro liệt kê tại đây và tìm hiểu xem liệu có ứng dụng nào đang ở trên thiết bị của mình hay không để gỡ bỏ ngay lập tức, đồng thời thay đổi mật khẩu tài khoản Facebook của mình để đảm bảo an toàn.