Các chuyên gia an ninh mạng vừa phát đi cảnh báo đỏ tới cộng đồng người dùng Android về một chiến dịch tấn công mạng tinh vi. Lần này, tin tặc không chỉ tạo ra một vỏ bọc hoàn hảo mà còn lợi dụng chính những nền tảng công nghệ được tin cậy nhất để gài bẫy người dùng.
Mối đe dọa mới này được phát hiện ẩn giấu dưới tên gọi TrustBastion – một ứng dụng được quảng cáo là công cụ bảo mật, diệt virus và chặn lừa đảo. Tuy nhiên, sự thật đằng sau đó lại hoàn toàn trái ngược.
Ứng dụng Android mang danh bảo mật lại ẩn chứa mã độc.
Theo phân tích từ Bitdefender, TrustBastion sử dụng thủ thuật 'Scareware' (phần mềm hù dọa). Ngay sau khi người dùng cài đặt, ứng dụng này sẽ liên tục hiển thị các thông báo giả mạo rằng điện thoại đã bị nhiễm virus nghiêm trọng, tạo tâm lý hoảng loạn để thúc ép nạn nhân tải xuống một bản cập nhật sửa lỗi. Chính bản cập nhật này mới là thứ chứa mã độc thực sự.
Điểm khiến chiến dịch này trở nên đặc biệt nguy hiểm là nơi lưu trữ mã độc Hugging Face. Đây là nền tảng chia sẻ mã nguồn mở hàng đầu thế giới dành cho cộng đồng AI, vốn được giới lập trình và các nhà nghiên cứu tin dùng tuyệt đối.
Lợi dụng tính năng cho phép tạo kho lưu trữ công khai của Hugging Face, tin tặc đã giấu các file cài đặt (APK) độc hại ngay trong các bộ dữ liệu trông có vẻ hợp pháp. Điều này khiến các bộ lọc bảo mật thông thường dễ dàng bị qua mặt, và người dùng cũng mất cảnh giác khi thấy nguồn tải xuống là một tên tuổi lớn trong ngành công nghệ.
Kho chứa mã độc được lưu trên nền tảng uy tín của dân công nghệ.
Đây không phải là một phần mềm quảng cáo rác gây phiền nhiễu, mà là một Trojan xâm nhập sâu vào hệ thống. Một khi đã lọt vào thiết bị, nó có khả năng:
- Ghi lại mọi hoạt động của nạn nhân bằng cách chụp màn hình.
- Ghi lại thao tác mở khóa màn hình để đánh cắp mã PIN/mật khẩu.
- Đặc biệt, nó có khả năng tạo màn hình đăng nhập giả mạo các ứng dụng ngân hàng hoặc ví điện tử để chiếm đoạt tài khoản.
Dữ liệu sau khi thu thập sẽ được gửi về máy chủ của kẻ tấn công, mở đường cho việc rút sạch tiền trong tài khoản hoặc tống tiền nạn nhân.
Trước hồi chuông cảnh báo, đại diện Google khẳng định người dùng chỉ tải ứng dụng từ Google Play sẽ an toàn. "Google Play Protect sẽ tự động chặn các hành vi độc hại này, ngay cả khi ứng dụng được tải từ nguồn bên ngoài", phát ngôn viên Google cho biết. Tuy nhiên, lịch sử đã chứng minh không có lá chắn nào là hoàn hảo 100%.
