Theo báo cáo mới từ công ty bảo mật di động Zimperium (Mỹ), chiến dịch có tên gọi là “Schoolyard Bully”, đây là Trojan ngụy trang dưới dạng các ứng dụng giáo dục cung cấp các nội dung như đọc sách và các chủ đề dành cho học sinh, đã lây nhiễm ít nhất 300.000 thiết bị của nạn nhân trên 71 quốc gia khác nhau, trong đó mục tiêu chủ yếu nhằm vào người dùng Facebook tại Việt Nam.
Hoạt động từ năm 2018, chiến dịch Trojan này được thiết kế đặc biệt để đánh cắp và tải thông tin đăng nhập Facebook lên các máy chủ do các tin tặc kiểm soát. Zimperium cho biết, kể từ khi bị xóa khỏi Google Play, Schoolyard Bully vẫn tiếp tục tồn tại và gây rủi ro cho người dùng thông qua các cửa hàng ứng dụng Android của bên thứ ba.
Schoolyard Bully giả dạng các ứng dụng giáo dục. Tuy nhiên, mục tiêu chính của Trojan này là đánh cắp thông tin đăng nhập tài khoản Facebook như email, mật khẩu, ID tài khoản, tên người dùng, số điện thoại. Ngoài ra, nó cũng thu thập tên thiết bị của người dùng, thông tin phần cứng và phần mềm của thiết bị.
Trojan đánh cắp các chi tiết này bằng cách mở trang đăng nhập Facebook hợp pháp bên trong ứng dụng bằng WebView và tiêm JavaScript độc hại để trích xuất thông tin do người dùng nhập vào.
Cụ thể, các nhà nghiên cứu của Zimperium giải thích: “Khi người dùng nhập thông tin xác thực tài khoản Facebook của họ trong ứng dụng thông qua trang Facebook. Javascript sẽ được đưa vào WebView bằng phương thức 'evaluateJavascript’, mã javascript này sau đó trích xuất giá trị của các thành phần ‘ids m_login_email’ và ‘m_login_password’, là các vị trí cho số điện thoại, địa chỉ email và mật khẩu. Dữ liệu sẽ được chuyển một cách âm thầm và trích xuất tới máy chủ chỉ huy và kiểm soát (C&C) do tin tặc kiểm soát”.
Hơn nữa, Trojan sử dụng Native Libraries (tập hợp của nhiều thư viện như WebKit, OpenGL, FreeType, SQLite, Media,…) để ẩn mình trước các phần mềm bảo mật và các công cụ phân tích, điều này khiến việc phát hiện là rất khó khăn.
Zimperium cho biết hãng đã phát hiện Trojan độc hại này trên 300.000 nạn nhân ở 71 quốc gia dựa trên dữ liệu đo từ xa. Ngoài ra, do 37 ứng dụng trong chiến dịch này được phân phối qua các cửa hàng ứng dụng của bên thứ ba, số lượng nạn nhân có thể cao hơn vì không có cách đo lường chính xác các nạn nhân trên những nền tảng này.
Zimperium cũng cảnh báo rằng có thể có nhiều ứng dụng hơn ngoài những ứng dụng mà các nhà nghiên cứu đã phát hiện. Bên cạnh đó, hãng bảo mật di động này cũng đã cung cấp thông tin kỹ thuật và chỉ số thỏa hiệp (IoC) có thể được sử dụng nhằm phát hiện Trojan Schoolyard Bully.
Các nguy cơ từ Schoolyard Bully vẫn chưa được chỉ rõ, tuy nhiên Zimperium khẳng định Trojan này không liên quan đến hoạt động FlyTrap - một chiến dịch Trojan Android tấn công vào Việt Nam với cùng mục tiêu đánh cắp tài khoản Facebook, vì dựa trên phân tích mã nguồn, các nhà nghiên cứu cho biết hai chiến dịch này hoạt động và sử dụng các mã khác nhau.
Hồng Đạt
15:00 | 03/09/2023
09:00 | 09/01/2023
09:00 | 23/08/2022
16:00 | 17/03/2023
15:00 | 03/09/2023
08:00 | 07/04/2023
09:00 | 21/04/2022
15:00 | 31/08/2023
15:00 | 26/10/2023
14:00 | 07/03/2022
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024