Hãng bảo mật Trend Micro đã phát hiện ra tổng cộng 53 ứng dụng trên Google Play bị nghi đánh cắp tài khoản Facebook để quảng cáo bất hợp pháp.
Nhiều ứng dụng trong đó được xuất bản vào đầu tháng 4/2017. Trend Micro phát hiện chúng dưới dạng ANDROIDOS_GHOSTTEAM. Nhiều ứng dụng trong đó có định dạng Tiếng Việt bao gồm cả phần giới thiệu trên Google Play.
Máy chủ C&C của những ứng dụng này đưa đường dẫn đến website mspace[.]Com[.]vn. Điều này chỉ ra rằng các ứng dùng này đều đến từ Việt Nam. Cấu hình của GhostTeam sử dụng 2 ngôn ngữ Tiếng Anh và Tiếng Việt. Ngôn ngữ được mặc định chuyển sang Tiếng Anh khi phần mềm độc hại phát hiện vị trí địa lý nằm ngoài lãnh thổ Việt Nam.
Cách thức GhostTeam hoạt động
GhostTeam tập trung nhắm vào các ứng dụng tiện ích như đèn pin, quét mã QR, la bàn, các ứng dụng tăng tốc hiệu suất thiết bị như truyền tệp nhanh và đáng chú ý nhất là các trình tải video trên mạng xã hội. Các trình tải video độc hại này khuyến khích người dùng tải video xuống để xem ngoại tuyến. Các quốc gia phát hiện thấy dấu hiệu của GhostTeam bao gồm Ấn Độ, Brazil, Indonesia, Philippines và Việt Nam.

Mặc dù các cuộc tấn công vào chứng chỉ chứng thực Facebook vẫn chưa gây ra những ảnh hưởng lớn cho người dùng. Tuy nhiên, người dùng vẫn không lường trước hết được những nguy hiểm mà nó mang lại. Thông qua những chứng chỉ chứng thực Facebook, tin tặc có thể tải lên nhiều phần mềm độc hại hơn nữa.
Những phần mềm này bắt đầu tấn công vào thông tin cá nhân cũng như danh sách liên hệ của người dùng. Từ đó, chúng gửi đi các thông tin giả mạo hoặc phần mềm độc hại để khai thác tiền kỹ thuật số. Ngoài ra, nhiều người dùng sử dụng tài khoản Facebook để chứng thực cho thông tin tài khoản ngân hàng hoặc các tiện ích khác. Đây là điều tin tặc có thể dễ dàng khai thác được nếu tấn công vào chứng chỉ chức thực Facebook.
Một đầu mối được Trend Micro đưa ra cho người dùng là chuỗi “ghostteam” xuất hiện trong các phiên bản nằm ở đầu phần mã của phần mềm độc hại. Chúng chứa đoạn mã khiến thiết bị tải xuống một payload ẩn mang tên GhostTeam_Demo.mp4.
Đầu tiên, phần mềm độc hại sẽ xác định rằng thiết bị không phải là trình giả lập hoặc môi trường ảo. Sau đó, một payload ẩn sẽ tự giả mạo thành ứng dụng “Google Play” và xác minh các ứng dụng. Nếu người dùng không có ý định mở Google Play hoặc Facebook, nó sẽ gửi thông báo yêu cầu cài đặt Google Play cũng như quyền quản trị viên thiết bị. Cũng như một loại quảng cáo độc hại (adware) TOASTAMIGO hayGhostCtrl backdoor, Google Play giả mạo này sẽ cố gắng ngăn chặn người dùng gỡ bỏ nó khỏi thiết bị.

Mục tiêu của GhostTeam nhắm vào là các tài khoản Facebook. Khi người dùng mở Facebook, một hộp thoại xác minh tài khoản sẽ được mở lên. Dưới màn hiển thị đó là chương trình chịu trách nhiệm về hiển thị trang web trong ứng dụng Android (WebView). Mã độc nằm trong WebView sẽ đánh cắp email và mật khẩu tài khoản Facebook, sau đó gửi tới máy chủ C&C.
Bên cạnh việc đánh cắp thông tin trên Facebook, GhostTeam cũng tích cực hiển thị các quảng cáo. Nó giữ thiết bị luôn hoạt động bằng cách quảng cáo hiển thị trong nền. Quảng cáo sẽ hiển thị toàn màn hình chính nếu người dùng tương tác với thiết bị.
Hãng bảo mật Trend Micro nói gì?
Mặc dù quảng cáo từ các ứng dụng không phải là xấu nhưng nó có thể là tiền đề cho các phần mềm độc hại xâm nhập vào thiết bị. Người dùng có thể hạn chế ảnh hưởng của GhostTeam bằng cách tắt tính năng quản trị thiết bị, quản lý BYOD và sử dụng các ứng dụng bảo mật.
Thường xuyên cập nhật hệ điều hành để vá lỗi hệ thống là điều được khuyên làm. Ngoài ra, người dùng nên kiểm tra các bài đánh giá của ứng dụng trước khi cài đặt chúng, gắn cờ đỏ thông báo nguy hiểm khi xuất hiện hành vi đáng ngờ. Và quan trọng nhất là quản lý tất cả những gì bạn chia sẻ trực tuyến. Ngay cả một chút dữ liệu tưởng chừng như vô hại như địa chỉ email cũng có thể được tin tặc sử dụng để chống lại bạn.
Trend Micro đã gửi các phát hiện này cho Google. Ngay lập tức, các ứng dụng này đã bị xóa bỏ. Các cập nhật cũng được thực hiện cùng sự thắt chặt kiểm soát của Google Play Protection đối với các ứng dụng bị báo cáo vi phạm chính sách. Trend Micro cũng gửi các báo cáo này cho Facebook. Bên phía trang mạng xã hội lớn nhất thế giới này cũng đưa ra tuyên bố chính thức như sau “Chúng tôi đang ngăn chặn sự lây lan của các ứng dụng độc hại này trong khả năng và chúng tôi có hệ thống để hỗ trợ phát hiện các tài khoản và chứng chỉ chứng thực bị xâm nhập.”