Mã độc tấn công hàng loạt người dùng Facebook Việt Nam

Theo báo cáo mới từ hãng bảo mật Mỹ – Zimperium, hơn 300.000 người dùng Android, chủ yếu ở Việt Nam, là nạn nhân của chiến dịch đánh cắp tài khoản Facebook bằng mã độc Schoolyard Bully

Theo thống kê, hiện có khoảng 37 ứng dụng chứa mã độc, trong đó có các ứng dụng sử dụng tên tiếng Việt, được đặt tên theo từng môn học, khối lớp và được tìm kiếm nhiều như Sổ tay ngoại tuyến – Bài tập & Bài tập. Ôn tập, Giải bài tập offline, Soạn Văn, Giải Hóa, Truyện…

Ứng dụng sẽ buộc người dùng phải đăng nhập bằng tài khoản Facebook trước khi sử dụng. Khi người dùng đăng nhập, mã đọc Schoolyard Bully sẽ đánh cắp thông tin và gửi lại cho máy chủ do những kẻ tấn công điều hành

Đánh giá về tác động của cuộc tấn công này, ông. Ông Vũ Ngọc Sơn, Giám đốc Công nghệ Công ty Công nghệ An ninh mạng Việt Nam NCS cho biết, mã độc Schoolyard Bully hoạt động từ năm 2018 mà không bị phát hiện. được phát hiện vì những ứng dụng độc hại này thực sự cung cấp thông tin cho người dùng. Hacker chèn đoạn script đánh cắp tài khoản, mật khẩu rồi mã hóa gửi về máy chủ điều khiển để qua mặt cơ chế kiểm duyệt của Google

Đối với người dùng Facebook, những người có thể bị ảnh hưởng bởi chiến dịch đánh cắp tài khoản Facebook bằng mã độc Schoolyard Bully, các chuyên gia bảo mật khuyến cáo, ngoài việc ngay lập tức gỡ bỏ ứng dụng độc hại mà Zimperium liệt kê. , người dùng cũng cần đăng xuất tài khoản Facebook trên mọi thiết bị và đổi mật khẩu tài khoản

Người dùng cũng không nên cài đặt phần mềm của các nhà sản xuất không uy tín, kể cả ứng dụng trên Google Play. Thông thường, những nhà sản xuất uy tín sẽ có thông tin liên hệ cụ thể, địa chỉ rõ ràng

Ngoài ra, theo các chuyên gia, người dùng cũng nên định kỳ vào phần cài đặt mật khẩu và bảo mật trên Facebook để kiểm tra các thiết bị đã đăng nhập tài khoản Facebook của mình. Trong trường hợp phát hiện thiết bị lạ, người dùng cần đăng xuất ngay khỏi thiết bị đó và đổi mật khẩu tài khoản Facebook

Phần mềm độc hại Android có tên Schoolyard Bully Trojan đã lây nhiễm và trích xuất thông tin từ hơn 300.000 thiết bị ở 71 quốc gia kể từ năm 2018, công ty bảo mật di động Zimperium zLabs báo cáo. Các ứng dụng này được tiếp thị dưới dạng giáo dục trên Google Play Store và chủ yếu nhắm mục tiêu đến người dùng Facebook tại Việt Nam.  

Báo cáo cảnh báo rằng các ứng dụng, mặc dù hiện đã bị xóa khỏi Cửa hàng Google Play, vẫn có sẵn trên các cửa hàng ứng dụng của bên thứ ba.  

Ngoài địa chỉ email, số điện thoại, mật khẩu, tên người dùng và ID tài khoản, phần mềm độc hại đã truy cập thông tin thiết bị của người dùng, như tên thiết bị, chi tiết RAM và thông tin API

Phần mềm độc hại Schoolyard Bully Android đã lây nhiễm vào các thiết bị như thế nào?

Vụ việc có dấu hiệu của một cuộc tấn công lừa đảo cổ điển. Các ứng dụng bị nhiễm phần mềm độc hại đã chuyển hướng nạn nhân không nghi ngờ đến trang đăng nhập Facebook giả nơi họ có thể nhập thông tin đăng nhập của mình

Sử dụng mã Javascript độc hại, tội phạm mạng dễ dàng trích xuất thông tin nhạy cảm từ các tài khoản đăng nhập từ trang giả mạo. Với các biến ‘ids m_login_email‘ và ‘m_login_password‘ được trích xuất, tội phạm mạng sau đó đã lấy được thông tin đăng nhập của người dùng

Sau khi trích xuất dữ liệu, tội phạm mạng đã chuyển đổi dữ liệu từ Binary sang ASCII. Và sử dụng JSON để phân tích dữ liệu, họ đã có quyền truy cập vào thông tin đăng nhập tài khoản Facebook.  

Tội phạm mạng lấy thông tin người dùng từ các trang web truyền thông xã hội bằng mã Javascript
Nguồn. Zimperi

Mặc dù việc trích xuất Javascript tương đối đơn giản hơn để phát hiện, nhưng bản thân phần mềm độc hại Android đã đủ tinh vi để che giấu hoạt động khỏi bị phần mềm chống vi-rút phát hiện, thông cáo báo chí trên blog của Zimperium cho biết.  

Báo cáo cho biết: “Phần mềm độc hại sử dụng các thư viện gốc để ẩn khỏi phần lớn các phát hiện vi rút chống vi-rút và máy học”. “Dữ liệu được mã hóa thêm để ẩn tất cả các chuỗi khỏi bất kỳ cơ chế phát hiện nào. Ngoài việc ẩn các chi tiết C&C, các ứng dụng này còn ẩn dữ liệu giáo dục trong một tệp zip được bảo vệ bằng mật khẩu. ”

Một loạt các cuộc tấn công hệ điều hành Android

Trong một trường hợp tấn công phần mềm độc hại tương tự, tội phạm mạng đã xâm phạm một số chứng chỉ của Samsung, LG và Mediatek để ký phần mềm độc hại Android, Sáng kiến ​​​​Lỗ hổng Đối tác Android (APVI) đã báo cáo. Các chứng chỉ có 'android' đặc quyền cao. uid. id người dùng của hệ thống, cho phép truy cập cấp hệ thống vào các thiết bị Android.  

Hệ điều hành Android là hệ điều hành ít được bảo vệ nhất mà tội phạm mạng thường sử dụng để khởi chạy các ứng dụng chứa phần mềm độc hại
Nguồn. Máy tính Bleeping

Tuần trước, một tổ chức ở Bahamas đã nhắm mục tiêu người dùng Android bằng các ứng dụng SoftVPN và OpenVPN giả mạo, cả hai đều là VPN phổ biến rộng rãi. Nhắm mục tiêu một số nền tảng nhắn tin phổ biến—bao gồm WhatsApp, Signal, Viber, Telegram và Messenger—chiến dịch đã theo dõi tài khoản người dùng và trích xuất tin nhắn SMS, danh bạ, nhật ký cuộc gọi, vị trí thiết bị và các cuộc gọi điện thoại được ghi lại.  

Gợi nhớ đến cuộc tấn công Trojan Bully Schoolyard, Zimperium, vào năm 2021, đã báo cáo về phần mềm độc hại FlyTrap Android, đã ảnh hưởng đến 10.000 người dùng đã vô tình tải xuống các ứng dụng có chứa phần mềm độc hại từ Cửa hàng Google Play. Người dùng bị ảnh hưởng trong cuộc tấn công đó cũng chủ yếu là người Việt Nam. Mặc dù Zimperium tuyên bố thủ phạm của hai vụ tấn công là khác nhau, nhưng các chiến thuật được sử dụng là tương tự nhau.  

Tội phạm mạng liên quan đến phần mềm độc hại FlyTrap Android cũng đã trích xuất thông tin đăng nhập Facebook, nhưng chúng đã tiến thêm một bước và có được cả vị trí, cookie và địa chỉ IP.  

Tên gói cho 10 mẫu phần mềm độc hại được liệt kê bao gồm

• com. tiếng Nga. kí tên. đổi mới
• com. xe trượt tuyếtdffsjkh. Tìm kiếm
• com. Android. sức mạnh
• com. ban quản lý. tuyên truyền
• com. giây. Android. máy nghe nhạc
• com. houla. làm nhanh lên
• com. attd. da
• com. arlo. fappx
• com. siêu khai thác. sân khấu
• com. thuận lợi. điện tử. bắp ngô

Tại sao nhắm mục tiêu tài khoản truyền thông xã hội?

Các tài khoản mạng xã hội, đặc biệt là các tài khoản trên nền tảng của Meta, đang trở thành mục tiêu dễ dàng cho những kẻ tấn công mạng. Các tác nhân độc hại trích xuất thông tin nhạy cảm của người dùng từ các nền tảng này sau đó vũ khí hóa thông tin đó để khởi chạy các cuộc tấn công kỹ thuật xã hội. Để có vẻ đáng tin cậy khi liên hệ với nạn nhân, tội phạm mạng cần quyền truy cập vào thông tin cá nhân nhạy cảm của họ.  

Thông thường, tội phạm mạng gọi cho nạn nhân và giả làm quan chức chính phủ, đồng thời tuyên bố đã lấy thông tin của họ từ hồ sơ mật. Mục tiêu là để lừa các nạn nhân cả tin cung cấp thêm thông tin cá nhân như số an sinh xã hội hoặc thông tin nhạy cảm của công ty mà lẽ ra vẫn còn trong một mạng an toàn.  

Do Android được bảo vệ kém hơn so với nền tảng iOS về mặt ngăn chặn tội phạm mạng bán các ứng dụng giả mạo nên tội phạm mạng thường sử dụng nó để khởi chạy các ứng dụng chứa phần mềm độc hại trên nạn nhân.  

Bên cạnh sự lỏng lẻo của Android trong việc chặn các ứng dụng giả mạo, tội phạm mạng cũng được hưởng lợi từ thói quen phổ biến của người dùng là có cùng thông tin đăng nhập mật khẩu trên nhiều tài khoản trực tuyến.  

Điện thoại thông minh Android và phương tiện truyền thông xã hội - Rủi ro bảo mật chính

Tiến hành thận trọng trên các ứng dụng truyền thông xã hội
Nguồn. Pexels

Một thực tế rõ ràng là phần lớn các ứng dụng xã hội đều không an toàn và chứa đầy tội phạm mạng. WhatsApp và Facebook là những nền tảng được nhắm mục tiêu nhiều nhất của tội phạm mạng. Nhìn chung, Meta có thành tích không tốt trong việc bảo vệ dữ liệu người dùng và gần đây đã bị phạt 265 triệu euro vì sơ suất. Mặt khác, 98% các cuộc tấn công ngân hàng di động nhắm vào Android và đây là hệ điều hành di động duy nhất cho phép người dùng tải phần mềm phụ.  

Người dùng Android có thể muốn chuyển sang các nền tảng an toàn hơn để tránh trở thành nạn nhân của các cuộc tấn công phần mềm độc hại. Ngoài ra, người dùng Android có thể hưởng lợi từ việc xác minh và cập nhật ứng dụng trên điện thoại của họ.   

Tại sao điều này lại quan trọng đối với chủ doanh nghiệp?

Tội phạm mạng không cần phải tấn công toàn bộ mạng. Thay vào đó, họ tìm kiếm những lỗ hổng rõ ràng và các lỗ hổng bảo mật đã biết. Để đánh sập một mạng, tất cả những gì họ cần là một nhân viên nhấp vào liên kết lừa đảo hoặc spam đơn giản trên điện thoại thông minh hoặc tài khoản mạng xã hội của họ.   

Nhân viên sử dụng Facebook trên điện thoại thông minh Android là mục tiêu dễ dàng cho các trò gian lận kỹ thuật xã hội. Và trong quá trình này, họ có thể sẽ để lộ mạng lưới và thông tin nhạy cảm của công ty mình cho những kẻ độc hại.  

Điều này đã xảy ra hết lần này đến lần khác và là cách dễ nhất để xâm nhập mạng. Để ngăn điều này xảy ra, các chủ doanh nghiệp nên triển khai các giải pháp bảo mật toàn diện hơn bao gồm tường lửa thế hệ tiếp theo, hệ thống phát hiện mối đe dọa, lọc nội dung web, lọc ứng dụng và VPN.  

Một rủi ro bảo mật lớn khác đối với các công ty phát sinh khi điện thoại thông minh có thể kết nối với Wi-Fi. Nếu một công ty không thể hạn chế quyền truy cập của điện thoại thông minh vào Wi-Fi, thì công ty đó cần phải có một hệ thống quản lý điểm cuối mạnh mẽ để đánh giá tất cả các thiết bị được kết nối và vá các lỗ hổng bảo mật tương ứng.  

Như được minh họa bởi cuộc tấn công gần đây này, các hệ điều hành nguồn mở và các ứng dụng truyền thông xã hội chính thống là đường dẫn cho các trò gian lận tinh vi. Schoolyard Bully Trojan là một cuộc tấn công hai mặt, trong đó tội phạm mạng khai thác hệ điều hành di động lớn nhất (và kém an toàn nhất), Android và nền tảng truyền thông xã hội lớn nhất (và kém an toàn nhất), Facebook.