Phát hiện Trojan Android đánh cắp hơn 300.000 tài khoản Facebook

14:00 | 09/12/2022 | HACKER / MALWARE

Một chiến dịch đánh cắp tài khoản Facebook vừa được phát hiện với hơn 300.000 tài khoản bị tấn công, chủ yếu tại Việt Nam, Trojan Android này đã giả dạng các ứng dụng giáo dục để thực hiện hành vi đánh cắp thông tin đăng nhập tài khoản Facebook từ các thiết bị bị nhiễm.

Phát hiện Trojan Android đánh cắp hơn 300.000 tài khoản Facebook

Theo báo cáo mới từ công ty bảo mật di động Zimperium (Mỹ), chiến dịch có tên gọi là “Schoolyard Bully”, đây là Trojan ngụy trang dưới dạng các ứng dụng giáo dục cung cấp các nội dung như đọc sách và các chủ đề dành cho học sinh, đã lây nhiễm ít nhất 300.000 thiết bị của nạn nhân trên 71 quốc gia khác nhau, trong đó mục tiêu chủ yếu nhằm vào người dùng Facebook tại Việt Nam.

Hoạt động từ năm 2018, chiến dịch Trojan này được thiết kế đặc biệt để đánh cắp và tải thông tin đăng nhập Facebook lên các máy chủ do các tin tặc kiểm soát. Zimperium cho biết, kể từ khi bị xóa khỏi Google Play, Schoolyard Bully vẫn tiếp tục tồn tại và gây rủi ro cho người dùng thông qua các cửa hàng ứng dụng Android của bên thứ ba.

Schoolyard Bully giả dạng các ứng dụng giáo dục. Tuy nhiên, mục tiêu chính của Trojan này là đánh cắp thông tin đăng nhập tài khoản Facebook như email, mật khẩu, ID tài khoản, tên người dùng, số điện thoại. Ngoài ra, nó cũng thu thập tên thiết bị của người dùng, thông tin phần cứng và phần mềm của thiết bị.

Trojan đánh cắp các chi tiết này bằng cách mở trang đăng nhập Facebook hợp pháp bên trong ứng dụng bằng WebView và tiêm JavaScript độc hại để trích xuất thông tin do người dùng nhập vào.

Cụ thể, các nhà nghiên cứu của Zimperium giải thích: “Khi người dùng nhập thông tin xác thực tài khoản Facebook của họ trong ứng dụng thông qua trang Facebook. Javascript sẽ được đưa vào WebView bằng phương thức 'evaluateJavascript’, mã javascript này sau đó trích xuất giá trị của các thành phần ‘ids m_login_email’ và ‘m_login_password’, là các vị trí cho số điện thoại, địa chỉ email và mật khẩu. Dữ liệu sẽ được chuyển một cách âm thầm và trích xuất tới máy chủ chỉ huy và kiểm soát (C&C) do tin tặc kiểm soát”.

Hơn nữa, Trojan sử dụng Native Libraries (tập hợp của nhiều thư viện như WebKit, OpenGL, FreeType, SQLite, Media,…) để ẩn mình trước các phần mềm bảo mật và các công cụ phân tích, điều này khiến việc phát hiện là rất khó khăn.

Zimperium cho biết hãng đã phát hiện Trojan độc hại này trên 300.000 nạn nhân ở 71 quốc gia dựa trên dữ liệu đo từ xa. Ngoài ra, do 37 ứng dụng trong chiến dịch này được phân phối qua các cửa hàng ứng dụng của bên thứ ba, số lượng nạn nhân có thể cao hơn vì không có cách đo lường chính xác các nạn nhân trên những nền tảng này.

Zimperium cũng cảnh báo rằng có thể có nhiều ứng dụng hơn ngoài những ứng dụng mà các nhà nghiên cứu đã phát hiện. Bên cạnh đó, hãng bảo mật di động này cũng đã cung cấp thông tin kỹ thuật và chỉ số thỏa hiệp (IoC) có thể được sử dụng nhằm phát hiện Trojan Schoolyard Bully.

Các nguy cơ từ Schoolyard Bully vẫn chưa được chỉ rõ, tuy nhiên Zimperium khẳng định Trojan này không liên quan đến hoạt động FlyTrap - một chiến dịch Trojan Android tấn công vào Việt Nam với cùng mục tiêu đánh cắp tài khoản Facebook, vì dựa trên phân tích mã nguồn, các nhà nghiên cứu cho biết hai chiến dịch này hoạt động và sử dụng các mã khác nhau.

Hồng Đạt

‹ › ×

Tin liên quan

Thái Lan cảnh báo Facebook do sai phạm

15:00 | 03/09/2023

Bộ Kinh tế số và Xã hội Thái Lan đã nhiều lần yêu cầu Facebook gỡ bỏ những quảng cáo được xác định là lừa đảo, song vấn đề này vẫn tồn tại.

Giải pháp phát hiện Trojan phần cứng tấn công mạng tạo số ngẫu nhiên thực

09:00 | 09/01/2023

Trojan phần cứng (Hardware Trojan - HT) là một biến thể của thiết kế IC nguyên bản (sạch, tin cậy) bị cổ ý chèn thêm các linh kiện vào IC để cho phép truy cập hoặc làm thay đổi thông tin lưu trữ (xử lý) ở bên trong chip. Các HT không chỉ là đe dọa lý thuyết an toàn mà còn trở thành phương tiện tấn công tiềm ẩn, đặc biệt đối với các mạch tạo số ngẫu nhiên, giữ vai trò quan trọng trong các hoạt động xử lý bảo mật và an toàn thông tin. Bộ tạo số ngẫu nhiên (True Random Number Generator - TRNG) được dùng làm điểm khởi đầu để sinh ra các khóa mật mã nhằm bảo đảm tính tin cậy cho các phép toán trong hệ mật. Vì vậy, TRNG là mục tiêu hấp dẫn đối với tấn công cố ý bằng HT. Bài báo áp dụng phương pháp tạo số ngẫu nhiên thực TRNG, thiết kế T4RNG (Trojan for Random Number Generators) làm suy giảm chất lượng các số ngẫu nhiên ở đầu ra của bộ tạo, mô tả các đặc tính của Trojan T4RNG và đưa ra kết quả thống kê phát hiện ra Trojan này dựa vào công cụ đánh giá AIS-31[2] và NIST SP-22 [3].

Phần mềm độc hại mới DUCKTAIL chuyên xâm nhập tài khoản Facebook Business

09:00 | 23/08/2022

Các nhà nghiên cứu của WithSecure (trước đây là F-Secure có trụ sở tại Phần Lan) tuyên bố rằng họ đã tìm thấy phần mềm độc hại DUCKTAIL nhắm mục tiêu vào người dùng và tổ chức trên nền tảng Facebook Business trong một chiến dịch độc hại mới có động cơ tài chính. Đặc biệt, nhóm nghiên cứu cho rằng nhóm tin tặc gây ra cuộc tấn công này đến từ Việt Nam.

Phiên bản mới của Trojan Android Xenomorph đánh cắp dữ liệu từ 400 ứng dụng ngân hàng

16:00 | 17/03/2023

Trojan Android Xenomorph đã quay trở lại với phiên bản mới cùng các tính năng bổ sung và cải tiến để thực hiện các cuộc tấn công độc hại, bao gồm khung hệ thống chuyển tiền tự động (Automated Transfer System - ATS) và khả năng đánh cắp thông tin đăng nhập từ 400 ứng dụng ngân hàng khác nhau.

Ứng dụng Messenger của Facebook sẽ được kích hoạt mã hóa đầu cuối vào cuối năm nay

15:00 | 03/09/2023

Meta - công ty phát triển ứng dụng Facebook khẳng định sẽ triển khai hỗ trợ mã hóa đầu cuối mặc định cho tất cả các cuộc trò chuyện trên ứng dụng Messenger vào cuối năm nay.

Những nguyên tắc để tránh bị lừa đảo trên Facebook

08:00 | 07/04/2023

Trong thời đại công nghệ số hiện nay facebook trở thành một ứng dụng hết sức phổ biến, từ trẻ em đến người già đều sở hữu cho mình 1 tài khoản Facebook. Tuy nhiên, đây cũng trở thành miếng mồi béo bở cho tội phạm mạng. Chúng dùng rất nhiều thủ đoạn tinh vi nhằm đánh lừa người dùng và đánh cắp tài khoản Facebook với mục đích xấu. Dưới đây là 8 nguyên tắc giúp người dùng trách bị lừa đảo trên mạng xã hội Facebook.

Mã độc Trojan mới Octo nhắm mục tiêu vào các tổ chức tài chính

09:00 | 21/04/2022

Hơn 50.000 lượt tải về các ứng dụng giả mạo trên Google Play đang được sử dụng để nhắm tới các ngân hàng và các tổ chức tài chính trên toàn thế giới.

Mã độc tấn công nhiều tài khoản Facebook tại Việt Nam

15:00 | 31/08/2023

Mới đây, hệ thống giám sát và cảnh báo mã độc của Bkav đã ghi nhận số lượng máy tính nhiễm mã độc Fabookie tăng đột biến. Bkav cho biết, trong tháng 7/2023, đã có hơn 100.000 máy tính tại Việt Nam bị nhiễm mã độc Fabookie - chuyên đánh cắp tài khoản Facebook Bussiness.

Phát hiện Trojan Android mới đánh cắp tài khoản ngân hàng tại Việt Nam

15:00 | 26/10/2023

Công ty an ninh mạng Group-IB vừa qua đã đưa ra cảnh báo về loại Trojan Android mới, được thiết kế để bí mật thu thập thông tin người dùng, bao gồm xác thực ứng dụng ngân hàng nhằm chiếm đoạt tài khoản.

Xenomorph - Trojan ngân hàng mới trên Android

14:00 | 07/03/2022

Mới đây, các nhà nghiên cứu tới từ công ty bảo mật ThreatFnai (Hà Lan) đã đưa ra cảnh báo về một trojan ngân hàng mới trên nền tảng Android, ghi nhận với hơn 50.000 lượt cài đặt và phát tán thông qua cửa hàng ứng dụng Google Play. Mã độc này nhắm mục tiêu thu thập các thông tin nhạy cảm của người dùng đến từ 56 ngân hàng khác nhau tại Châu Âu.

Tin cùng chuyên mục

Giải mã mạng botnet NoaBot nhắm mục tiêu khai thác tiền điện tử

15:00 | 26/01/2024

Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.

Khám phá phiên bản cập nhật của phần mềm đánh cắp thông tin Atomic Stealer nhắm mục tiêu vào macOS

08:00 | 19/01/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.

Phát hiện kỹ thuật khai thác mới cho phép kẻ tấn công vượt qua các biện pháp bảo mật

07:00 | 18/01/2024

Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.

Lỗ hổng mới trong cảm biến vân tay cho phép kẻ tấn công vượt qua xác thực đăng nhập của Windows Hello

09:00 | 24/11/2023

Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.