Ứng dụng Kora442 được phát tán qua fanpage Facebook cùng tên. Người có nhu cầu xem trực tiếp các trận đấu cũng như cập nhật tỷ số tại World Cup 2022 được fanpage này dẫn dụ truy cập một website để tải ứng dụng về máy. Tuy nhiên ứng dụng không có trên Play Store, mà được cung cấp dưới dạng file apk để cài thủ công lên thiết bị Android.
Giao diện ứng dụng Kora442. Ảnh: ESET
ESET Research, công ty nghiên cứu bảo mật đầu tiên phát hiện ra chiến dịch này, cho biết đây là mã độc RAT (Remote Access Trojan), cho phép tin tặc kiểm soát thiết bị từ xa. Khi cài đặt, ứng dụng yêu cầu các quyền truy cập như SMS, nhật ký cuộc gọi, danh bạ, ảnh, bộ nhớ tạm và cả tính năng chụp ảnh hay ghi âm cuộc gọi. Những dữ liệu này được lọc và tải lên máy chủ của tin tặc.
Theo ESET, đã có ít nhất 750 máy nhiễm mã độc. Con số có thể sẽ tăng lên do website chưa bị vô hiệu hóa và World Cup 2022 mới đi được 1/3 chặng đường.
Ông Ngô Minh Hiếu, sáng lập dự án Chống lừa đảo, cho biết ứng dụng không trực tiếp nhắm đến người dùng Việt Nam. Tuy nhiên, với nhu cầu xem World Cup tăng cao, người dùng có thói quen truy cập các nền tảng lậu hoặc ứng dụng không rõ nguồn gốc và có thể trở thành nạn nhân của những chiến dịch tương tự.
"Các ứng dụng xem nội dung lậu, cá độ trực tuyến là những nguồn phát tán mã độc dạng này rất lớn. Có thể nhiều người đã dính mã độc mà không biết, do chúng ẩn mình khá tinh vi", ông Hiếu nói. Năm ngoái, một chiến dịch phát tán RAT dưới hình thức một bản cập nhật hệ điều hành Android cũng bị phát hiện.
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), các phần mềm độc hại thường giả dạng các ứng dụng được nhiều người quan tâm để lừa người dùng thiếu cảnh giác tải và cài đặt. Trong trường hợp của Kora442, mồi nhử là World Cup 2022. NCSC khuyến cáo người dùng nếu đã cài ứng dụng cần gỡ bỏ lập tức.
"Để tránh trở thành nạn nhân của các chiến dịch độc hại, người dùng nên xem xét kỹ các đánh giá, xếp hạng trước khi cài đặt, cũng như chỉ cài ứng dụng từ các nguồn tin cậy", trung tâm khuyến cáo.
