Phát hiện trojan mới đánh cắp mật khẩu tài khoản Google Play

Theo đại diện Dr Web Việt Nam, Android.Spy.510 được tội phạm mạng lây lan thông qua ứng dụng thông thường như AnonyPlayer Media nhưng đã bị chỉnh sửa nhúng mã độc này. Phiên bản Trojan này có cách thức vận hành hợp pháp, do đó nạn nhân sẽ không nghi ngờ về hiểm họa tiềm ẩn có thể xảy ra.

Sau khi được cài đặt và khởi động, Android.Spy.510 tập hợp và bí mật gửi dữ liệu về máy chủ kiểm soát (C&C server) các thông tin như tên đăng nhập, mật khẩu tài khoản Google Play của người dùng, model thiết bị di động, phiên bản SDK của hệ điều hành và quyền truy cập root sẵn có trên thiết bị.

Đồng thời, Trojan sẽ cài đặt một gói ứng dụng ẩn thêm vào với các tính năng độc hại.

Android.Spy.510 rất tinh vi lây lan qua ứng dụng thông thường.

Để làm điều đó Android.Spy.510 dẫn dụ người dùng bằng việc hiển thị nội dung yêu cầu người dùng cài đặt ứng dụng AnonyService với chức năng riêng tư (privacy features) để bảo vệ thông tin người dùng không lộ ra ngoài và nhắc nhở các nạn nhân cho phép ứng dụng quyền truy cập: thẻ SD, internet, cộng cụ hệ thống (system tools).

Sau khi được cài đặt, Adware.AnonyPlayer.1.origin ngay lập tức nhắc nhở các nạn nhân cho phép sử dụng dịch vụ truy cập (Accessibility Service). Sau đó chúng tự chuyển sang chế độ chờ và bắt đầu hoạt động độc hại chỉ trong vài ngày sau. Vì thế, khả năng phát hiện nguồn lây nhiễm trên thiết bị đã bị xâm nhập rất thấp.

Sau một thời gian ấn định, Adware.AnonyPlayer.1.origin bắt giám sát tất cả các sự kiện hệ thống và chờ người dùng chạy một số chương trình. Khi nạn nhân sử dụng thiết bị và mở các ứng dụng cho hoạt động thường nhật, modul này ngay lập tức hiển thị quảng cáo trên các ứng dụng. Đầu tiên, Adware.AnonyPlayer.1.origin kiểm tra mức độ tương thích từ các chương trình ứng dụng nằm trong danh sách sạch không có tính năng quảng cáo (org.adw.launcher, com.android.launcher, com.android.systemui, com.android.settings…).

Nếu chương trình có trong danh sách sạch, Adware.AnonyPlayer.1.origin không chạy quảng cáo tránh các chương trình này cảnh báo người dùng dẫn đến việc phát hiện ra chúng.

Nếu không tìm thấy chương trình tương thích, Adware.AnonyPlayer.1.origin sẽ tạo ra một thông điệp đặc biệt sử dụng WebView hiển thị hàng đầu trên giao diện ứng dụng với nội dung quảng cáo theo chủ định từ máy chủ C&C (C&C server).

Người dùng thiết bị có thể nghĩ đây là quảng cáo do chính ứng dụng tung ra gây bực bội nhất thời. Hơn thế nữa cách làm này đánh lạc hướng người dùng khỏi nghi ngờ ứng dụng nguồn gốc là ứng dụng media player là nguyên nhân. Và bản thân Adware.AnonyPlayer.1.origin cũng như Android.Spy.510 sẽ không tung ra nội dung quảng cáo khi người dùng mở chúng thông qua ứng dụng media player.

Trước nguy cơ này, chuyên gia bảo mật Dr.Web khuyến cáo người dùng thiết bị Android chỉ cài đặt các ứng dụng từ các nguồn tin cậy.

Bên cạnh đó, người dùng nên dè chừng trước các chương trình yêu cầu sử dụng dịch vụ truy cập (Accessibility Service). Một khi ứng dụng độc hại chiếm được đặc quyền nó có thể tạo mô phỏng giao diện đồ họa (tương tự như giao diện hộp thoại người dùng khi cài đặt ứng dụng sạch) và có khả năng chặn bàn phím nhập liệu của người dùng, hoạt động như một keylogger (theo dõi, ghi nhận các hoạt động bàn phím).

Như thế, tội phạm mạng hoàn toàn có thể đánh cắp dữ liệu bí mật như tin nhắn văn bản, truy vấn tìm kiếm và thậm chí cả mật khẩu của người dùng.

Theo ictnews