[CEH VIETNAM] Ứng dụng độc hại này lây lan mã độc BlackRock đánh cắp thông tin đăng nhập từ 458 dịch vụ – bao gồm Twitter, WhatsApp, Facebook và Amazon.

Các nhà nghiên cứu cảnh báo về một phiên bản giả mạo của ứng dụng trò chuyện phổ biến Clubhouse, ứng dụng này cung cấp phần mềm độc hại đánh cắp thông tin đăng nhập của hơn 450 ứng dụng.

Clubhouse đã bùng nổ trên mạng xã hội trong vài tháng qua, được quảng cáo rầm rộ thông qua các phòng trò chuyện âm thanh, nơi những người tham gia có thể thảo luận về mọi thứ, từ chính trị đến các mối quan hệ. Mặc dù chỉ được mời và mới chỉ tồn tại được một năm, nhưng ứng dụng này đang đạt được 13 triệu lượt tải xuống . Tuy nhiên, hiện tại ứng dụng chỉ có sẵn trên chợ ứng dụng di động App Store của Apple – vẫn chưa có phiên bản Android.

Tội phạm mạng đang tấn công người dùng Android tìm cách tải xuống Clubhouse bằng cách tạo phiên bản ứng dụng Android giả của riêng họ. Lukas Stefanko, nhà nghiên cứu của ESET, cho biết để tăng thêm tính hợp pháp cho trò lừa đảo, ứng dụng giả mạo được phân phối từ một trang web có mục đích là trang web Clubhouse thực sự.

Khi người dùng nhấp vào ‘Tải ứng dụng giả mạo Clubhouse trên Google Play’ từ trang web lừa đảo thì ứng dụng sẽ tự động được tải xuống thiết bị của người dùng. Ngược lại,Còn các trang web hợp pháp sẽ luôn chuyển hướng người dùng đến Google Play, thay vì tải xuống trực tiếp gói cài đặt cho Android hay còn gọi là APK. ”

Không biết bằng cách nào mà các nạn nhân tiềm năng phát hiện ra những trang web này, nhưng Stefanko nói với Threatpost rằng trang web này rất có thể được lan truyền qua mạng xã hội hoặc các trang web của bên thứ ba như diễn đàn. Trang web lừa đảo (joinclubhouse [.] Mobi) trông giống hệt trang web Clubhouse thực (joinclubhouse.com) – cả hai đều cho người dùng biết rằng họ có thể tham gia với lời mời từ người dùng hiện tại, với lời kêu gọi hành động: “Đăng ký để xem bạn có những người bạn trên Clubhouse, những người có thể cho phép bạn tham gia. ” Trong khi trang web thật chỉ cho người dùng tải xuống ứng dụng trên cửa hàng, thì trang giả cho người dùng tải ứng dụng đó trên Google Play.

Khi kiểm tra kỹ hơn, trang web giả mạo có dấu hiệu báo trước cho các nạn nhân tiềm năng rằng có điều gì đó đang tắt – chẳng hạn như kết nối là HTTP chứ không phải HTTPS và thực tế là trang web sử dụng miền cấp cao nhất .mobi (thay vì .com được sử dụng bởi miền hợp pháp).

Phần mềm độc hại Android: BlackRock

Nếu nạn nhân nhấp vào nút có mục đích tải xuống ứng dụng, một trojan có tên là BlackRock sẽ được cài đặt trên hệ thống của họ. Phần mềm độc hại này, được phát hiện vào tháng 7  và là một biến thể của trojan LokiBot , tấn công không chỉ các ứng dụng tài chính và ngân hàng mà còn cả một danh sách lớn các ứng dụng có thương hiệu nổi tiếng và thường được sử dụng trên thiết bị Android.

Trang web Clubhouse giả mạo ở hình dưới 

Các nhà nghiên cứu cho biết: “Trojan – được đặt tên là“ BlackRock ”bởi ThreatFainst và được phát hiện bởi các sản phẩm của ESET là Android / TrojanDropper.Agent.HLR – có thể lấy cắp dữ liệu đăng nhập của nạn nhân ở hơn 458 dịch vụ trực tuyến.

Danh sách thông tin đăng nhập ứng dụng được nhắm mục tiêu bao gồm các ứng dụng tài chính và mua sắm nổi tiếng, sàn giao dịch tiền điện tử và các ứng dụng nhắn tin và truyền thông xã hội – bao gồm Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA và Lloyds Bank .

Trojan này quét thông tin đăng nhập bằng cách sử dụng cuộc tấn công lớp phủ – đây là một kiểu tấn công phổ biến đối với các ứng dụng Android độc hại . Trong kiểu tấn công này, phần mềm độc hại sẽ tạo một lớp phủ đánh cắp dữ liệu của ứng dụng mà nạn nhân đang điều hướng đến và yêu cầu người dùng đăng nhập. Tuy nhiên, trong khi nạn nhân tin rằng anh ta đang đăng nhập, anh ta lại vô tình chuyển giao thông tin xác thực đến tội phạm mạng.

Trong một chiến thuật thường được phần mềm độc hại Android sử dụng, ứng dụng độc hại cũng yêu cầu nạn nhân bật các dịch vụ trợ năng trên điện thoại để tự cấp quyền trên điện thoại mà nạn nhân không biết (Android  cho biết  rằng các dịch vụ trợ năng thường được sử dụng để hỗ trợ người dùng khuyết tật trong việc sử dụng thiết bị và ứng dụng Android). Các quyền này cung cấp cho phần mềm độc hại quyền truy cập vào danh bạ, máy ảnh, tin nhắn SMS và hơn thế nữa. Khả năng chặn tin nhắn SMS này cũng rất hữu ích cho những kẻ đe dọa tìm cách vượt qua các biện pháp bảo vệ xác thực hai yếu tố (2FA) dựa trên SMS được thiết lập bởi các ứng dụng trên điện thoại của nạn nhân (ví dụ: nếu một ứng dụng gửi mã 2FA, những kẻ tấn công có thể nhận nó thông qua xem các tin nhắn văn bản).

Lời nhắc cài đặt của phần mềm độc hại. Xem hình dưới

Đầu mối lớn nhất cho việc phát hiện ứng dụng này độc hại là tên của nó là “Install” chứ không phải “Clubhouse”, Stefanko nói.

Ông nói: “Mặc dù điều này chứng tỏ rằng kẻ tạo ra phần mềm độc hại đã quá lười biếng để ngụy trang ứng dụng để tải xuống một cách hợp lý, nhưng điều đó cũng có nghĩa là chúng ta có thể phát hiện ra những bản sao chép tinh vi hơn nữa trong tương lai.

Ngay cả khi mức độ phổ biến của nó ngày càng tăng, Clubhouse đã bị chỉ trích vì nhiều vấn đề riêng tư khác nhau, chẳng hạn như thực tế là các cuộc trò chuyện qua ứng dụng được ghi lại . Cơ quan giám sát quyền riêng tư của Pháp gần đây cũng đã mở một cuộc điều tra về ứng dụng này về cách nó bảo vệ quyền riêng tư đối với dữ liệu của người dùng châu Âu.

Mặc dù ứng dụng độc hại BlackRock không được liên kết với chính ứng dụng Clubhouse hợp pháp, nhưng các nhà nghiên cứu cảnh báo rằng nhiều ứng dụng Clubhouse giả sẽ xuất hiện trong tương lai – đặc biệt là trong khi nhu cầu về phiên bản Android chưa được tung ra vẫn tiếp tục.

Người dùng Android có thể tự bảo vệ mình bằng cách luôn gắn bó với các chợ ứng dụng dành cho thiết bị di động chính thức để tải ứng dụng xuống thiết bị của họ, cảnh giác với các quyền mà họ cấp cho các ứng dụng và cập nhật thiết bị của họ (thông qua bản vá và các cách khác). Theo TP

BQT CEH VIETNAM