Theo báo cáo mới từ công ty bảo mật di động (Mỹ), chiến dịch có tên gọi là “Schoolyard Bully”, đây là ngụy trang dưới dạng các ứng dụng giáo dục cung cấp các nội dung như đọc sách và các chủ đề dành cho học sinh, đã lây nhiễm ít nhất 300.000 thiết bị của nạn nhân trên 71 quốc gia khác nhau, trong đó mục tiêu chủ yếu nhằm vào người dùng tại Việt Nam.
Hoạt động từ năm 2018, chiến dịch Trojan này được thiết kế đặc biệt để đánh cắp và tải thông tin đăng nhập Facebook lên các máy chủ do các tin tặc kiểm soát. Zimperium cho biết, kể từ khi bị xóa khỏi Google Play, Schoolyard Bully vẫn tiếp tục tồn tại và gây rủi ro cho người dùng thông qua các cửa hàng ứng dụng của bên thứ ba.
Schoolyard Bully giả dạng các ứng dụng giáo dục. Tuy nhiên, mục tiêu chính của Trojan này là đánh cắp thông tin đăng nhập tài khoản Facebook như email, mật khẩu, ID tài khoản, tên người dùng, số điện thoại. Ngoài ra, nó cũng thu thập tên thiết bị của người dùng, thông tin phần cứng và phần mềm của thiết bị.
Trojan đánh cắp các chi tiết này bằng cách mở trang đăng nhập Facebook hợp pháp bên trong ứng dụng bằng WebView và tiêm JavaScript độc hại để trích xuất thông tin do người dùng nhập vào.
Cụ thể, các nhà nghiên cứu của Zimperium giải thích: “Khi người dùng nhập thông tin xác thực tài khoản Facebook của họ trong ứng dụng thông qua trang Facebook. Javascript sẽ được đưa vào WebView bằng phương thức 'evaluateJavascript’, mã javascript này sau đó trích xuất giá trị của các thành phần ‘ids m_login_email’ và ‘m_login_password’, là các vị trí cho số điện thoại, địa chỉ email và mật khẩu. Dữ liệu sẽ được chuyển một cách âm thầm và trích xuất tới máy chủ chỉ huy và kiểm soát (C&C) do tin tặc kiểm soát”.
Hơn nữa, Trojan sử dụng Native Libraries (tập hợp của nhiều thư viện như WebKit, OpenGL, FreeType, SQLite, Media,…) để ẩn mình trước các phần mềm bảo mật và các công cụ phân tích, điều này khiến việc phát hiện là rất khó khăn.
Zimperium cho biết hãng đã phát hiện Trojan độc hại này trên 300.000 nạn nhân ở 71 quốc gia dựa trên dữ liệu đo từ xa. Ngoài ra, do 37 ứng dụng trong chiến dịch này được phân phối qua các cửa hàng ứng dụng của bên thứ ba, số lượng nạn nhân có thể cao hơn vì không có cách đo lường chính xác các nạn nhân trên những nền tảng này.
Zimperium cũng cảnh báo rằng có thể có nhiều ứng dụng hơn ngoài những ứng dụng mà các nhà nghiên cứu đã phát hiện. Bên cạnh đó, hãng bảo mật di động này cũng đã cung cấp thông tin kỹ thuật và chỉ số thỏa hiệp (IoC) có thể được sử dụng nhằm phát hiện Trojan Schoolyard Bully.
Các nguy cơ từ Schoolyard Bully vẫn chưa được chỉ rõ, tuy nhiên Zimperium khẳng định Trojan này không liên quan đến hoạt động FlyTrap - một chiến dịch Trojan Android tấn công vào Việt Nam với cùng mục tiêu đánh cắp tài khoản Facebook, vì dựa trên phân tích mã nguồn, các nhà nghiên cứu cho biết hai chiến dịch này hoạt động và sử dụng các mã khác nhau.
Hồng Đạt
15:00 | 03/09/2023
09:00 | 09/01/2023
09:00 | 23/08/2022
16:00 | 17/03/2023
15:00 | 03/09/2023
08:00 | 07/04/2023
09:00 | 21/04/2022
15:00 | 31/08/2023
15:00 | 26/10/2023
14:00 | 07/03/2022
14:00 | 17/05/2024
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
08:00 | 04/05/2024
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024