Theo một báo cáo hôm nay 18/01/2018 ,
các nhà nghiên cứu bảo mật Avast đã phát hiện
ra malware với tên gọi GhostTeam, malware chuyên lấy cắp mật khẩu Facebook
và hiển thị quảng cáo pop-up liên tục cho nạn nhân, GhostTeam ngụy trang bên
trong nhiều tiện ích đa dạng như đèn pin, quét mã QR, tăng hiệu
năng, giải trí và các ứng dụng hỗ trợ tải video – Hầu hết người dùng bị ảnh
hưởng bởi phần mềm GhostTeam được báo cáo là cư trú ở Ấn Độ, Indonesia, Brazil,
Việt Nam và Philippines. Đã có hơn 35.000 smartphone tại Việt Nam nhiễm
GhostTeam.
Các quốc gia bị
phát tán và lây nhiễm mã độc GhostTeam
Những ứng dụng
chứa mã độc này đã từng được chia sẻ lên Google Play từ tháng 4/2017 nhưng chỉ
mới được phát hiện gần đây. Trong đó có những ứng dụng đã có hơn 100.000 lượt tải
và sử dụng như: ứng dụng “Lịch Vạn Niên”, “Lịch Vạn Sự”, “Lịch Âm”, ứng dụng la
bàn, máy quét mã QR, ứng dụng tối ưu hóa và dọn rác… Theo các chuyên gia bảo mật của Avast
thì đa phần những ứng dụng này có chứa mã độc GhostTeam được tạo ra được nghi có nguồn gốc từ Việt Nam.
Nhiều ứng dụng độc hại này có ngôn ngữ mặc định là tiếng Việt, với phần giới
thiệu về ứng dụng trên Google Play là tiếng Việt và các ứng dụng này liên kết với
những máy chủ đặt tại Việt Nam.
Các ứng dụng quen thuộc phát tán GhostTeam
Hầu
hết các ứng dụng trên ban đầu không có mã độc để qua mắt Google và thiết bị
Android, tuy nhiên sau khi cài đặt lên thiết bị của người dùng, ứng dụng này sẽ
kết nối với máy chủ ở bên ngoài để tải thêm một ứng dụng phụ thứ hai, đây mới
chính là ứng dụng có chứa mã độc hại. Ứng dụng thứ hai
này thường được ngụy trang dưới dạng ứng dụng cấp hệ thống. Tin tặc sẽ sử dụng
cảnh báo bảo mật giả mạo hiển thị trên ứng dụng được cài đặt ban đầu để lừa
người dùng cài đặt thêm ứng dụng phụ thứ hai này và giành quyền quản trị. Khi
ứng dụng chứa mã độc chiếm được quyền quản trị trên thiết bị, mã độc sẽ bắt đầu
hiển thị các quảng cáo trên smartphone của người dùng.
Khi nạn nhân vừa mở
Facebook, malware ngay lập tức sẽ thúc nạn nhân xác minh tài khoản
Facebook của họ lại lần nữa. Thay vì khai thác các lỗ hổng của hệ thống
hay ứng dụng, nó chỉ sử dụng phương thức “phishing” thông thường bằng cách
tự động tải những đoạn mã JavaScript độc hại và mở một màn hình Webview
giống hệt màn hình đăng nhập Facebook. Ngay khi người dùng đăng nhập tài khoản
lên trình duyệt WebView này, các thông tin về tài khoản, mật khẩu của nạn nhân sẽ
được gửi tới một máy chủ của hacker. Trong một số trường hợp, mã độc này có thể
đánh cắp dữ liệu trực tiếp từ ứng dụng Facebook trên smartphone thay vì tạo ra
trang giả mạo để người dùng đăng nhập vào tài khoản Facebook của mình rồi mới
đánh cắp.
Giao diện
Facebook giả mạo trên WebView.
Đồng thời do các kết nối đến máy
chủ từ xa được thực hiện bằng cách sử dụng HTTP ( không được mã hóa) nên nếu ai
đó giám sát giao tiếp của người dùng, họ cũng có thể ăn cắp thông tin người
dùng trong Plaintext của Android.
Thông tin
trong Plaintext gởi đến máy chủ.
---------------------------
IOCs:
http://mspace[.]com[.]vn
http://optimuscorp[.]pw
APPS: Người dùng tải xuống những APK độc hại trên
Google Play – SHA256 (Vui lòng kiểm tra trên VirusTotal)
Com.azmobie.blockhexa
EFCA498B6A6715337CDEDF627690217CEF2D80D1C8F715B5C37652F556134F7E
Com.bestsoftfree.audiorecorder
F3223010D0BEACE2445561BCB62FFAA491423CAD0B94CA0C811A8E165B9B94A8
Com.softedu.sieumaytinh
3D04094251D48AC7F42D52FA460AB46384AF656581EC39D149F76DB8DCA058AE
50CAD37A8FC9E317FD521F32A2ADAA0B2B5013832864DEEDD10B078A7F661CF4
com.goodtool.studio.app.tool.Share.TransferFile
0E7DF5409D657205BB82A2698D0E18B3A6F42B6A82C82C5FFEEEC45D0970C6B4
Com.cosy.app.tool.compass
17D788D6A77E4BB2A59562EBAC24568337B095CA9E63E6A1559AC3ADFEC26FE3
com.cosy.app.tool.home.Touch.Assistive
E69C1BD90B6CAE22DC7968657F3A550D584D9747F6D9FDC62DFE6C66AD7DCC0E
com.cosy.app.tool.Brightest.led.Flashlight
EA9C392D1779E3630053BF5B469E2AE10FDABC90D27030F1812791D32E0E3B54
Com.azmobile.chessmaster
8C34B7D233868811AF12364FF783FB9CDDBD8D900B6FEE7285723F4190E9721C
Com.calendar.appfree.lichvannien
79529115E98401C15AC23803E095234619FB326E40EF2E6FD166A8D67F74A573
Com.lichcom.tuvi.lich.mautuat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://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details