06:50 10/07/2021

9 ứng dụng Android chứa mã độc có thể đánh cắp mật khẩu Facebook

Phạm Vinh

Các nhà nghiên cứu bảo mật từ Dr. Web đã phát hiện 9 ứng dụng Android với hơn 5,8 triệu lượt tải xuống đã lén lút đánh cắp mật khẩu và nguy cơ mất quyền truy cập Facebook của người dùng…

Sau một thời gian sử dụng, các ứng dụng này sẽ dụ người dùng cập nhật, yêu cầu đăng nhập bằng Facebook và dễ dàng lấy được mật khẩu truy nhập.
Sau một thời gian sử dụng, các ứng dụng này sẽ dụ người dùng cập nhật, yêu cầu đăng nhập bằng Facebook và dễ dàng lấy được mật khẩu truy nhập.

Theo Dr.Web, trong số 9 ứng dụng Android này có 1 ứng dụng PIP Photo nổi tiếng đạt hơn 5,8 triệu lượt tải xuống từ cửa hàng Google Play chứa các dòng mã độc, cho phép tin tặc đánh cắp mật khẩu Facebook người dùng.

“Hiện tại, Google đã loại bỏ các nhà phát triển và xóa 9 ứng dụng này khỏi CH Play nhưng nếu bạn đã từng tải xuống bất kỳ ứng dụng nào trong số chúng, đã đến lúc thay đổi mật khẩu của mình”, chuyên gia bảo mật Dr.Web cảnh báo.

 

Tội phạm mạng luôn lợi dụng sơ hở của người dùng, mặc định chọn “Đồng ý” hay “Yes” các yêu cầu truy cập vào phần mềm hệ thống, kho dữ liệu hình ảnh… Sau một thời gian, các ứng dụng này sẽ dụ người dùng đăng nhập bằng Facebook để mở khóa toàn bộ chức năng của ứng dụng. Và một đoạn mã JavaScript được chèn vào để thu thập dữ liệu cần thiết".

Chuyên gia bảo mật VNISA.

Theo lý giải của một chuyên gia an ninh mạng Chi hội An toàn thông tin (VNISA) phía Nam, tội phạm mạng luôn lợi dụng sơ hở của người dùng, mặc định chọn “Đồng ý” hay “Yes” các yêu cầu truy cập vào phần mềm hệ thống, kho dữ liệu hình ảnh,… Sau khi tải các ứng dụng đầy đủ chức năng để chỉnh sửa ảnh, tập thể dục, xem tử vi và dọn dẹp rác này. Sau một thời gian, các ứng dụng này sẽ dụ người dùng đăng nhập bằng Facebook để mở khóa toàn bộ chức năng của ứng dụng. 

Khi người dùng đăng nhập, hay cập nhật phần mềm này, ứng dụng sẽ khởi động máy chủ C&C của riêng họ (C&C là viết tắt của Command-and-Control do nhà phát triển kiểm soát được sử dụng để sao chép và lưu trữ dữ liệu từ một trang web). Sau khi nhận được cài đặt từ máy chủ C&C, ứng dụng được tải sau đó tải trang đăng nhập Facebook hợp pháp.

Ngoài ra, ứng dụng tải JavaScript nhận được từ máy chủ C&C vào trang đăng nhập Facebook (mã JavaScript rất linh hoạt và có thể được chèn vào bất kỳ thời điểm nào, ngay cả khi người dùng chỉ cần nhấn vào trường văn bản).

“Mã JavaScript này sau đó lại chuyển dữ liệu đã sao chép vào ứng dụng, rồi chuyển dữ liệu đó đến máy chủ C&C của ứng dụng và lưu lại. Sau khi người dùng đăng nhập vào ứng dụng, ứng dụng cũng đã đánh cắp cookie từ phiên được ủy quyền hiện tại, các cookie này lần lượt được gửi đến hacker”, chuyên gia bảo mật giải thích cơ chế lấy cắp mật khẩu.

Hơn nữa, những kẻ tấn công đã nghĩ ra một kịch bản thông minh, một thông báo có thể loại bỏ quảng cáo bằng cách đăng nhập vào tài khoản Facebook cá nhân. Những người dùng cả tin, không nghi ngờ có thể đã đăng nhập mà không cần suy nghĩ kỹ.

Nghiêm trọng hơn, nếu người dùng có thói quen chỉ sử dụng một mật khẩu cho tất cả các tài khoản của mình (nhằm mục đích duy nhất là dễ nhớ) thì những kẻ tấn công đó sẽ truy cập được vào tất cả các tài khoản còn lại một cách dễ dàng.

Chính vì vậy, nếu bạn đã từng tải xuống bất kỳ ứng dụng nào trong số 9 ứng dụng dưới đây, hãy thay đổi mật khẩu Facebook của bạn ngay lập tức. Hơn nữa, hãy thay đổi mật khẩu cho tất cả những tài khoản trùng với mật khẩu Facebook của bạn.

 

9 ứng dụng cần gỡ ngay lập tức và cài đặt lại mật khẩu Facebook:

  1. PIP Photo, hơn 5,8 triệu lượt tải xuống
  2. Processing Photo, hơn 500.000 lượt tải xuống
  3. Rubbish Cleaner, hơn 100.000 lượt tải xuống
  4. Inwell Fitness, hơn 100.000 lượt tải xuống
  5. Horoscope Daily, hơn 100.000 lượt tải xuống
  6. App Lock Keep, hơn 50.000 lượt tải xuống
  7. Lockit Master, hơn 5.000 lượt tải xuống
  8. Horoscope Pi, hơn 1.000 lượt tải xuống
  9. App Lock Manager, hơn 10 lượt tải xuống