Các nhà nghiên cứu bảo mật đã phát hiện ra phần mềm độc hại trên Android có thể đánh cắp thông tin đăng nhập từ ảnh. Phần mềm độc hại sử dụng phần mềm OCR mà chúng tôi biết từ các ứng dụng PDF cho việc này.
Cụ thể, hai loại phần mềm độc hại phát hiện Trend Micro: CherryBlos và FakeTrade. Cả hai đều được sử dụng để đánh cắp dữ liệu nhạy cảm từ những người dùng không nghi ngờ. Theo các nhà nghiên cứu bảo mật, phần mềm độc hại hoạt động với phần mềm được gọi là ‘OCR’. Phần mềm như vậy có thể giải mã các chữ cái từ hình ảnh. Ví dụ: Google Lens sử dụng tính năng này để chụp và xử lý văn bản từ hình ảnh video.
Phần mềm độc hại được phát hiện gần đây hiện đã biết cách sử dụng phần mềm tương tự để đánh cắp dữ liệu người dùng. Quá trình này tương đối dễ dàng; các ứng dụng yêu cầu người dùng truy cập vào thư viện sau khi cài đặt và sau đó quét ảnh bằng phần mềm OCR. Tất cả văn bản mà phần mềm quản lý để truy xuất sẽ được chuyển tiếp cho bọn tội phạm. Do đó, nó có thể chỉ liên quan đến chi tiết đăng nhập hoặc các văn bản nhạy cảm khác.
Trend Micro có thể xác định rằng 4 ứng dụng đã bị nhiễm phần mềm độc hại. Theo các nhà nghiên cứu, đây luôn là những ứng dụng không có trong Google Play Store đứng. Cụ thể, nó liên quan đến: GPTalk, Happy Minder, Robot999 và SynthNet. Các nhà nghiên cứu đã tìm thấy khoảng 30 ứng dụng Play Store có kỹ thuật tấn công tương tự, bao gồm cả ứng dụng Synthnet nói trên.
Lạm dụng chế độ tiếp cận
CherryBlos không chỉ hoạt động thông qua OCR mà còn lạm dụng tính năng trợ năng của Android. Quyền truy cập được yêu cầu cho việc này khi ứng dụng được khởi động lần đầu tiên. Quyền truy cập này sau đó bị lạm dụng để nhận biết khi người dùng mở ứng dụng tiền điện tử. Sau khi hệ thống nhận dạng ứng dụng, giao diện giả mạo sẽ được tải. Giao diện đó được đặt ‘phía trước trang đăng nhập thực’ với hy vọng mọi người nhập thông tin đăng nhập của họ vào đó.
Ngoài ra, phần mềm độc hại có thể thay đổi địa chỉ giao dịch trên các dịch vụ tiền điện tử được hỗ trợ. Ví dụ: người dùng gửi tiền điện tử của họ đến ví của bọn tội phạm mà không nhận ra điều này trước khi hoàn tất giao dịch.
Bài viết nổi bật Trojan mới tấn công hàng trăm nghìn người dùng Android
Đừng cài đặt mọi ứng dụng
Không cần phải nói rằng người dùng không nên chỉ cài đặt bất kỳ ứng dụng nào. Bạn nên luôn kiểm tra xem ứng dụng có đến từ các nguồn đáng tin cậy hay không. Bạn có thể kiểm tra điều này bằng cách kiểm tra nhà xuất bản của ứng dụng. Ngoài ra, các bài đánh giá về một ứng dụng thường cho biết ứng dụng đó có đáng tin cậy hay không.
Cuối cùng, đừng chỉ cài đặt ứng dụng từ bên ngoài Play Store. Phần lớn phần mềm độc hại trên Android mà chúng tôi phát hiện trong năm qua đến từ các ứng dụng bên ngoài Google Play Store. Bạn thường phải cài đặt nó dưới dạng APK riêng.
