Một báo cáo mới đây từ đội bảo mật Trend Micro và Avast, có đến 53 ứng dụng của nhóm hacker nghi ngờ tới từ Việt Nam dùng để đánh cắp thông tin người dùng trên Facebo

. Ngay lập tức Google đã xóa hoàn toàn 53 ứng dụng trên khỏi Google Play khi nhận được báo cáo ở trên, những ứng dụng này phát tán một loại phần mềm độc hại dùng để đánh cắp thông tin người dùng Facebo trên Android và nó có tên là GhostTeam.

GhostTeam được phát hiện bởi đội bảo mật di động của Avast và Trend Micro, các chuyên gia cho biết phần mềm độc hại đã hoạt động trên Play Store từ tháng 4/2017 nhưng mới đây họ phát hiện và báo cáo Google. Dưới đây là những cách thức mà GhostTeam sử dụng để hack và đánh cắp thông tin người dùng.

Thông tin về nhóm hacker GhostTeam và cách thức đánh cắp thông tin người dùng

1. Tấn công người dùng bằng ứng dụng an toàn

Cách thức hoạt động này của GhostTeam không phải là quá mới, thực chất những ứng dụng này chỉ tiếp tay cho mã độc thực sự khi người dùng cài đặt những ứng dụng không an toàn được cung cấp bởi nhóm hacker này và cung cấp những quyền truy cập chính đáng. Sau đó chúng sẽ kết nối những ứng dụng này với một máy chủ từ xa và tải về những mã độc.

Tiếp đến những hacker sẽ sử dụng những cảnh báo bảo mật giả mạo, và gửi lời thông báo đến người dùng là thiết bị đã bị hack, cần cài ứng dụng để quét virus. Sau khi cài đặt ứng dụng quét virus này chúng sẽ giành quyền quản trị thiết bị của người dùng. Và khi ứng dụng quét virus này nhận quyền truy cập quản trị, GhostTeam sẽ hiển thị quảng cáo để kiếm tiền trên điện thoại của người dùng.

2. Sử dụng trang đăng nhập Facebo

để đánh cắp thông tin

Không chỉ có việc hiển thị quảng cáo khiến người dùng bị đánh cắp thông tin, các chuyên gia còn phát hiện GhostTeam ăn cắp thông tin Facebo

của người dùng bằng cách sử dụng một trang đăng nhập khác ngay trên ứng dụng Facebo của người dùng. Khi phát hiện người dùng mở ứng dụng Facebo, các hacker sẽ mở ra một trang đăng nhập Facebo bằng trình duyệt ngay trên ứng dụng độc hại, đây là trình duyệt di động mà các nhà phát triển có thể nhúng bên trong những ứng dụng của họ và có toàn quyền kiểm soát.

Nó cũng sẽ tải một mã JavaScript độc và thu thập thông tin đăng nhập Facebo

của người dùng. Dữ liệu này sẽ được gửi đến bởi một máy chủ từ xa của hacker. Vì các hoạt động đăng nhập diễn ra trên trang đăng nhập của Facebo thật và nằm trong một thành phần Android hợp pháp cho nên các sản phẩm bảo mật di dộng không thể phát hiện ra phương thức ăn cắp thông tin này.

3. GhostTeam có thể đến từ Việt Nam

Vì tất cả các ứng dụng độc hại đều sử dụng tiếng Việt làm ngôn ngữ mặc định cho nên cả Avast và Trend Micro đều cho rằng nhóm hacker này đến từ Việt Nam. Ngoài ra hacker cũng cung cấp những phiên bản tiếng Anh cho người dùng không phải là người Việt Nam. Dòng mô tả trên Play Store của nhóm hacker này cũng bằng tiếng Việt và một điều đặc biệt họ giao tiếp với các máy chủ lệnh và kiểm soát được lưu trữ trên các IP đến từ Việt Nam. Tuy nhiên, Việt Nam lại chỉ chiếm 10% trong số tất cả các thiết bị bị ảnh hưởng. Các quốc gia được nhận định là ảnh hưởng nhất bởi GhostTeam bao gồm Ấn Độ, Brazil và Indonesia.

Một điều cần chú ý là ngay cả khi Google gỡ bỏ hoàn toàn thì các ứng dụng kể trên thì các ứng dụng độc hại vẫn có thể hoạt động trên điện thoại của người dùng, nên Trend Micro đã tổng hợp lại những ứng dụng có khả năng đánh cắp thông tin.

Hầu hết những ứng dụng đều rất đơn giản như Lịch Vạn Niên, Đèn Pin, ứng dụng làm sạch thiết bị, ứng dụng quét mã QR...

Nếu bạn phát hiện mình đã cài đặt bất kỳ ứng dụng nào kể trên thì hãy lập tức đổi mật khẩu Facebo

và bật xác thực hai yếu tố. Avast và Trend Micro đã tin rằng hacker đã sử dụng GhostTeam để kiếm tiền bằng quảng cáo mà họ cho vào thiết bị của người dùng và sử dụng tài khoản Facebo của họ để chia sẻ những bài quảng cáo đó lên trên mạng xã hội. Hãy tham khảo bài viết cách