Các nhà nghiên cứu của Trend Micro báo cáo đã phát hiện hơn 200 ứng dụng trên Google Play Store bị nhiễm phần mềm độc hại chuyên đánh cắp thông tin đăng nhập.
Họ cũng báo cáo sự tồn tại của khoảng 40 ứng dụng độc hại nhắm mục tiêu người dùng tiền điện tử.
Phần mềm gián điệp đánh cắp thông tin xác thực Facebook
Vào tháng 7 năm 2021, Dr.Web đã báo cáo sự tồn tại của Facestealer, một phần mềm gián điệp có mục tiêu chính là đánh cắp thông tin đăng nhập Facebook người dùng của các ứng dụng mà nó ẩn. Do đó, phần mềm độc hại vẫn hoạt động, vì các nhà nghiên cứu của Trend Micro đã phát hiện ra hơn 200 ứng dụng trước đây có mặt trên Google Play Store chứa nó. Trong bài báo của mình, các nhà nghiên cứu chỉ ra rằng, giống như Joker, một phần mềm độc hại khác ám ảnh cửa hàng ứng dụng của Google, mã của Facestealer thay đổi thường xuyên, điều này có thể gây khó khăn cho việc phát hiện.
Tại đây, phần mềm gián điệp đã được tìm thấy trong một số loại ứng dụng: VPN (42), phần mềm chỉnh sửa ảnh (13), máy ảnh (20) hoặc thậm chí các ứng dụng thể dục. Ngay sau khi người dùng khởi chạy ứng dụng bị nhiễm độc, anh ta sẽ được nhắc đăng nhập bằng tài khoản của mình Facebook. Sau đó, phần mềm độc hại khởi chạy WebView để tải một trang web mà nó đưa mã JavaScript vào để lấy cắp thông tin đăng nhập của người dùng. Sau đó, tin tặc sử dụng dữ liệu này để thực hiện các chiến dịch lừa đảo, tạo bài viết giả mạo hoặc tạo bot quảng cáo trên mạng xã hội.
Trend Micro đã đặt tên cho một số ứng dụng bị nhiễm:
- CV thể dục hàng ngày
- Thưởng thức trình chỉnh sửa ảnh
- Máy ảnh toàn cảnh
- Câu đố chơi game bằng ảnh
- Ảnh bầy đàn
- Trình quản lý Meta Doanh nghiệp
Người dùng tiền điện tử ngày càng bị tin tặc nhắm mục tiêu
Ngoài Facestealer, Trend Micro cũng tuyên bố đã tìm thấy hơn 40 ứng dụng khai thác tiền điện tử giả mạo. Đây không phải là lần đầu tiên các nhà nghiên cứu của công ty thực hiện loại khám phá này. Thật vậy, vào năm 2021, họ đã báo cáo sự tồn tại của các ứng dụng tương tự. Tuy nhiên, trước đây họ cố gắng lừa người dùng đăng ký các dịch vụ trả phí hoặc nhấp vào quảng cáo, các phiên bản mới này còn đi xa hơn.
Một trong số đó, “Trang trại tiền điện tử của riêng bạn”, chỉ phục vụ việc chuyển hướng người dùng đến một trang web, nơi họ được yêu cầu đăng nhập vào ví và nhập khóa riêng của họ dưới chiêu bài khai thác tiền điện tử. Nếu trang web nói rằng khóa riêng tư sẽ không được lưu trữ, điều đó rõ ràng là sai. Các nhà nghiên cứu phát hiện ra rằng chúng đã được gửi và lưu trữ rõ ràng trên máy chủ của các tác nhân độc hại. Trang web này cũng đánh cắp mật khẩu của người dùng, cho phép họ kiểm soát ví của mình.
Tất cả các ứng dụng này đã bị xóa khỏi Google Play Store. Nếu bất kỳ hành vi nào được mô tả giống với hành vi của ứng dụng mà bạn đã tải xuống, hãy kiểm tra xem ứng dụng đó có còn xuất hiện trên Cửa hàng Play hay không và xóa ứng dụng đó khỏi điện thoại của bạn.
Về cùng một chủ đề:
Cảnh giác với phần mềm độc hại ẩn trong các tệp PDF có sẵn trên Google
Nguồn: Tin tức về hacker, Xu hướng micro
