Phần mềm độc hại mới BlackRock ngụy trang dưới dạng một ứng dụng Android Clubhouse

14:00 | 23/03/2021 | HACKER / MALWARE

Một phần mềm Trojan độc hại có tên BlackRock đang ngụy trang thành một phiên bản Android của ứng dụng trò chuyện âm thanh có tên Clubhouse. Điều đáng chú ý là ứng dụng này không có phiên bản Android tại thời điểm này.

Các nhà nghiên cứu an ninh mạng tại ESET (công ty bảo mật có trụ sở chính tại Bratislava, Slovakia) tiết lộ rằng, phần mềm độc hại có tên BlackRock được tạo ra với mục đích đánh cắp thông tin đăng nhập của nạn nhân trên tổng số 458 dịch vụ trực tuyến. Danh sách các ứng dụng được nhắm mục tiêu bao gồm tất cả các loại ứng dụng tài chính, mua sắm và trao đổi tiền điện tử, cũng như các nền tảng nhắn tin và truyền thông xã hội (Twitter, Whatapp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA, Lloyds Bank…).

BlackRook sử dụng cách thức tấn công lớp phủ (overlay attack) để thực hiện đánh cắp thông tin đăng nhập của nạn nhân bất cứ khi nào một trong những ứng dụng bị nhắm mục tiêu được khởi chạy. Khi đó, chúng tạo ra một cửa sổ giả hiện lên trên một ứng dụng hợp pháp, “lớp phủ” này kết hợp với ứng dụng nền khiến người dùng khó nhận biết pop-up xuất hiện có phải là một phần của ứng dụng đó hay không. Cửa sổ này sẽ nhắc người dùng điền thông tin đăng nhập và số thẻ tín dụng để có thể bắt đầu dùng ứng dụng hợp pháp. Đây là một kỹ thuật phổ biến cho phép tin tặc có quyền truy cập vào thông tin đăng nhập của người dùng.

Mối quan tâm chính ở đây là phần mềm độc hại cũng có thể chặn tin nhắn văn bản kể cả khi người dùng có đang sử dụng xác thực hai yếu tố dựa trên SMS. Sau đó, ứng dụng độc hại yêu cầu nạn nhân kích hoạt các dịch vụ trợ năng để cho phép chúng có thể kiểm soát trực tiếp thiết bị.

Chuyên gia Lukas Stefanko của ESET cho biết, tin tặc đã tạo ra một bản sao được làm giống như web Clubhouse chính thức và chỉ có một vài điểm nhỏ khác biệt. Nếu người dùng tải xuống ứng dụng từ một trang web hợp pháp, ứng dụng đó sẽ luôn chuyển hướng người dùng đến Google Play thay vì tải xuống trực tiếp. Phiên bản giả mạo sẽ tự động tải xuống ứng dụng trên thiết bị của người dùng ngay sau khi họ nhấp vào “tải xuống trên Google Play”.

Một điểm khác biệt chính cần lưu ý là khi sử dụng các trang web giả mạo, có dấu hiệu cho thấy kết nối không an toàn (HTTP thay vì HTTPS) hoặc trang web đang sử dụng tên miền cấp cao “.mobi” (TLD) thay vì “.com.”.

Phần mềm độc hại mới BlackRock ngụy trang dưới dạng một ứng dụng Android Clubhouse

Trang web giả mạo (trái) và trang web hợp pháp (phải)

Trên thực tế là Clubhouse thực sự đang có kế hoạch tung ra phiên bản Android cho ứng dụng của mình, nhưng hiện tại ứng dụng này hiện chỉ có sẵn cho người dùng iOS.

Để tránh trở thành nạn nhân của các cuộc tấn công tương tự bởi phần mềm độc hại Trojan, có một số lưu ý mà người dùng có thể làm theo:

- Chỉ sử dụng các cửa hàng chính thức để tải ứng dụng xuống thiết bị của mình. Cảnh giác với các quyền cấp cho ứng dụng.

- Người dùng nên cập nhật thiết bị của mình bằng cách cài đặt tự động cập nhật bản vá. Nếu có thể, nên sử dụng trình tạo mật khẩu một lần (OTP) dựa trên phần mềm hoặc mã thông báo phần cứng thay vì SMS.

- Thực hiện một số tìm hiểu về nhà phát triển và xếp hạng của ứng dụng cũng như đánh giá của người dùng trước khi cài đặt ứng dụng.

Quốc Trường

‹ › ×

Tin liên quan

Thông tin 1,3 triệu người dùng Clubhouse tiếp tục bị rò rỉ

09:00 | 16/04/2021

Ngày 11/4/2021, cơ sở dữ liệu của mạng xã hội âm thanh nổi tiếng Clubhouse đã bị rò rỉ trong một diễn đàn hacker nổi tiếng, chứa thông tin cá nhân của 1,3 triệu người dùng.

Bảo vệ hoàn hảo cho thiết bị Android chỉ với 80.000 VND

16:00 | 15/03/2021

Nhằm tri ân tất cả quý khách hàng đã tin tưởng và sử dụng sản phẩm bản quyền phần mềm diệt virus Kaspersky trong thời gian qua, cửa hàng trực tuyến Kaspersky Proguide ra mắt chương trình khuyến mãi cực sốc. Chỉ với 80.000 VND, người dùng đã có thể bảo vệ một cách hoàn hảo cho thiết bị Android của mình.

Tiện ích mở rộng The Great Suspender chứa phần mềm độc hại

13:00 | 17/02/2021

Mới đây, Google đã xóa một tiện ích mở rộng phổ biến trên Chrome The Great Suspender khỏi cửa hàng trực tuyến, do chứa phần mềm độc hại. Google đã trực tiếp vô hiệu hóa tiện ích này khỏi máy tính người dùng.

Tội phạm sử dụng biểu mẫu liên hệ trên trang web của Google để phát tán phần mềm độc hại

14:00 | 17/05/2021

Microsoft đã phát cảnh báo tới các tổ chức/doanh nghiệp nên đề phòng tội phạm mạng sử dụng biểu mẫu liên hệ trên trang web của công ty để gửi trojan đánh cắp thông tin ngân hàng IcedID trong email có URL của Google cho nhân viên.

Trên 40 ứng dụng di động với hơn 100 triệu lượt cài đặt bị phát hiện rò rỉ khóa AWS

08:00 | 14/06/2021

Hầu hết người dùng ứng dụng di động thường tin tưởng các ứng dụng họ tải xuống từ các cửa hàng ứng dụng là an toàn và bảo mật. Thực tế đã cho thấy không phải lúc nào cũng vậy.

Gootkit RAT sử dụng SEO để phát tán phần mềm độc hại

09:00 | 22/03/2021

Một framework khét tiếng về việc cung cấp những Trojan ngân hàng đã được nâng cấp để triển khai nhiều loại phần mềm độc hại, bao gồm cả ramsomware.

Phần mềm độc hại Process Manager nghe lén người dùng

10:00 | 08/04/2022

Các nhà nghiên cứu tại Lab52 (Italy) đã phát hiện phần mềm độc hại Process Manager có khả năng ghi lại âm thanh, theo dõi vị trí của người dùng. Ứng dụng độc hại này ẩn giấu bên trong một số ứng dụng trên Google Play.

Tin cùng chuyên mục

Phân tích phần mềm độc hại DinodasRAT trên Linux

19:00 | 30/04/2024

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

Phân tích chiến dịch khai thác lỗ hổng Windows SmartScreen để phân phối phần mềm độc hại DarkGate

07:00 | 08/04/2024

Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.

Phát hiện lỗ hổng nghiêm trọng trong GitLab khi tạo workspace cho phép ghi đè tệp

08:00 | 06/02/2024

GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.

Các tài khoản X của Netgear, Hyundai bị tin tặc tấn công

14:00 | 16/01/2024

Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.