Các nhà nghiên cứu bảo mật đang cảnh báo rằng hai loại Trojan Android mới đã được phát hiện nhắm mục tiêu vào người dùng ở khu vực Đông Nam Á và Đông Á. Một trong số chúng đã tích lũy được hàng trăm nghìn lượt cài đặt qua cửa hàng ứng dụng Google Play.
 |
Ảnh minh họa. |
Theo báo cáo của công ty an ninh mạng nổi tiếng Kaspersky của Nga, loại Trojan này có tên gọi là Fleckpe, xuất hiện lần đầu tiên vào năm 2022, được phân phối qua các ứng dụng độc hại trong cửa hàng ứng dụng Google Play.
Kaspersky đã xác định trong cửa hàng ứng dụng Google Play chính thức có tổng cộng 11 ứng dụng độc hại, đã được cài đặt hơn 620.000 lần. Các ứng dụng độc hại như các tiện ích chỉnh sửa ảnh, gói hình nền điện thoại thông minh và phần mềm tương tự đã bị xóa khỏi cửa hàng ứng dụng Google Play.
Khi hoạt động trên một thiết bị bị nhiễm, phần mềm độc hại Fleckpe sẽ tải một thư viện chứa một chương trình virus nhằm mục đích thiết lập kết nối với máy chủ chỉ huy và kiểm soát (C&C) và gửi thông tin về thiết bị bị nhiễm.
Máy chủ phản hồi bằng một trang đăng ký trả phí mà Trojan tải trong một cửa sổ trình duyệt vô hình. Nếu quy trình đăng ký yêu cầu mã xác nhận, phần mềm độc hại sẽ tận dụng quyền truy cập được yêu cầu trước đó vào khu vực thông báo, truy xuất và nhập mã đó vào trang để hoàn tất quy trình đăng ký.
Hầu hết các nạn nhân của mã độc Fleckpe được xác định ở Thái Lan, nhưng phần mềm độc hại này cũng lây nhiễm các thiết bị của người dùng ở Indonesia, Malaysia, Ba Lan và Singapore.
Phần mềm độc hại thứ hai mới được xác định có tên là FluHorse, cũng được phân phối qua các ứng dụng độc hại. Tuy nhiên, không giống như Fleckpe, các ứng dụng này xâm nhập vào thiết bị của nạn nhân thông qua email lừa đảo, công ty an ninh mạng Check Point của Israel tiết lộ.
Phần mềm độc hại FluHorse bắt chước các ứng dụng phổ biến có hơn 1 triệu lượt cài đặt trên cửa hàng ứng dụng Google Play và được thiết kế dành riêng cho người dùng ở Đài Loan (ứng dụng thu phí) và Việt Nam (ứng dụng ngân hàng).
Phần mềm độc hại này được thiết kế để thu thập thông tin đăng nhập của nạn nhân và mã xác thực hai yếu tố (2FA) được truyền qua tin nhắn SMS và gửi chúng cho người điều hành. Các email lừa đảo chứa mồi nhử liên quan đến việc trả phí cầu đường và hướng nạn nhân đến một trang web giả mạo đã được sử dụng để phân phối các ứng dụng độc hại.
Sau khi nạn nhân cài đặt ứng dụng độc hại, họ sẽ được nhắc nhập thông tin đăng nhập và sau đó được yêu cầu đợi trong 10 hoặc 15 phút cho đến khi thông tin được xác minh.
Trong thời gian này, những kẻ đe dọa cố gắng sử dụng thông tin đăng nhập để thực hiện các giao dịch độc hại và phần mềm độc hại lạm dụng các quyền được yêu cầu trước đó để chuyển hướng bất kỳ mã xác nhận tin nhắn SMS nào tới những kẻ tấn công.
Theo Công ty an ninh mạng Check Point, các nạn nhân của phần mềm độc hại FluHorse được xác định là rất đa dạng và bao gồm các nhân vật nổi tiếng như quan chức chính phủ./.
