Các chuyên gia an ninh mạng từ Malwarebytes vừa phát đi cảnh báo đỏ về một chiến dịch lừa đảo vô cùng tinh vi. Thay vì sử dụng các chiêu trò gửi link chứa virus lỗi thời, kẻ tấn công giờ đây sử dụng kỹ thuật thao túng tâm lý kết hợp với PWA (Progressive Web App – hay còn gọi là ứng dụng web tiến bộ) để qua mặt người dùng.
Cuộc tấn công bắt đầu khi người dùng bị dẫn dụ truy cập vào tên miền giả mạo "google-prism.com". Trang web này được thiết kế giống hệt giao diện bảo mật chính thức của Google, yêu cầu người dùng trải qua 4 bước thiết lập an toàn.
Trang web giả mạo Google và yêu cầu cấp quyền truy cập bộ nhớ clipboard.
Thực chất, đây là quá trình lừa nạn nhân tự nguyện cấp các quyền rủi ro và cài đặt một ứng dụng PWA độc hại. Vì PWA chạy độc lập trong một cửa sổ riêng, không hiện thanh địa chỉ hay các nút điều khiển của trình duyệt, người dùng rất dễ nhầm tưởng đây là một phần mềm chính chủ của hệ thống.
Khi đã xâm nhập vào hệ thống, mã độc này phô diễn sức mạnh đáng sợ. Nó không chỉ âm thầm thu thập danh bạ, dữ liệu GPS hay nội dung nạn nhân vừa copy (trong clipboard) mà còn nhắm thẳng vào mã xác thực một lần (OTP/MFA) và địa chỉ ví tiền điện tử.
Nguy hiểm hơn, ứng dụng web này có thể biến trình duyệt thành một máy chủ proxy nội bộ. Kẻ tấn công có thể "núp bóng" mạng Wi-Fi tại gia để kết nối, truyền dữ liệu và rà quét các thiết bị khác trong cùng mạng lưới. Miễn là ứng dụng còn tồn tại, tin tặc còn có thể thao túng thiết bị từ xa.
Với những nạn nhân sử dụng thiết bị Android, chiến dịch này còn giăng thêm một lớp bẫy cực độc. Trang web giả mạo sẽ dụ người dùng tải xuống một file APK với lời hứa "cập nhật bảo mật quan trọng để bảo vệ danh bạ".
Ngay khi được cài đặt, mã độc này sẽ trắng trợn yêu cầu tới 33 quyền hạn hệ thống, bao gồm quyền đọc tin nhắn SMS, nghe lén micro và đặc biệt là dịch vụ trợ năng (Accessibility service). Từ đây, ứng dụng biến thành một "bóng ma" trong điện thoại, khi có thể ghi lại mọi thao tác gõ phím, chặn cướp thông tin đăng nhập và tự động ẩn mình dưới quyền quản trị thiết bị để ngăn người dùng gỡ cài đặt.
Cách bảo vệ bản thân trước chiêu trò tấn công mới
Chiến dịch này nguy hiểm ở chỗ nó không cần khai thác lỗ hổng phần mềm nào, mà khai thác chính sự nhẹ dạ và tâm lý lo sợ về bảo mật của con người. Cần nhớ là Google không bao giờ yêu cầu kiểm tra bảo mật qua các cửa sổ pop-up lạ hay ép cài đặt phần mềm bên ngoài. Mọi cài đặt bảo mật chính thống chỉ nằm ở duy nhất một địa chỉ là myaccount.google.com.
Thông báo giả mạo về việc kiểm tra bảo mật hoàn tất.
Cách kiểm tra và gỡ bỏ mã độc nếu đã lỡ cài đặt:
Trên Android: Tìm ngay ứng dụng có tên Security Check và gỡ bỏ. Nếu thấy ứng dụng System Service (gói com.device.sync), hãy vào Cài đặt > Bảo mật > Ứng dụng quản trị thiết bị để tước quyền quản trị của nó trước, sau đó tiến hành gỡ cài đặt.
Trên máy tính: Xóa các tiện ích/ứng dụng web đáng ngờ khỏi trình duyệt Chrome, Edge hoặc Safari.
