Mã độc Android mới sử dụng OCR đánh cắp dữ liệu nhạy cảm
Một mã độc Android mới có tên là CherryBlos đã được quan sát thấy sử dụng kỹ thuật nhận dạng ký tự quang học (OCR) để thu thập dữ liệu nhạy cảm được lưu trữ trong hình ảnh.
Theo Trend Micro, CherryBlos được phân phối qua các bài đăng giả mạo trên các nền tảng mạng xã hội và có khả năng đánh cắp thông tin đăng nhập liên quan đến ví tiền điện tử và hành động như một phần mềm độc hại Clipper.
Clipper là mã độc chiếm quyền điều khiển giao dịch tiền điện tử bằng cách hoán đổi địa chỉ ví thật với địa chỉ thuộc ví của kẻ tạo ra Clipper. Khi người dùng thực hiện thanh toán từ tài khoản tiền điện tử, họ sẽ trả tiền cho tác giả của Clipper thay vì người nhận dự định ban đầu.
Sau khi được cài đặt, các ứng dụng tìm kiếm quyền của người dùng để cấp cho nó quyền truy cập, điều này cho phép ứng dụng tự động cấp cho mình các quyền bổ sung theo yêu cầu. Như một biện pháp tự bảo vệ, nếu người dùng cố gắng tắt hoặc gỡ bỏ ứng dụng bằng cách truy cập vào ứng dụng Cài đặt, họ sẽ bị đưa trở lại màn hình chính.
Bên cạnh việc hiển thị các lớp phủ giả mạo trên các ứng dụng ví tiền điện tử hợp pháp để đánh cắp thông tin đăng nhập và thực hiện các giao dịch gian lận đến địa chỉ do kẻ tấn công kiểm soát, CherryBlos còn sử dụng OCR để nhận dạng các cụm từ ghi nhớ tiềm năng từ hình ảnh và ảnh được lưu trữ trên thiết bị, kết quả sau đó được tải định kỳ lên máy chủ từ xa.
Sự thành công của chiến dịch dựa vào khả năng người dùng thường chụp ảnh màn hình các cụm từ phục hồi ví tiền trên thiết bị của họ.
Trend Micro cũng cho biết họ đã tìm thấy một ứng dụng được phát triển bởi tác nhân đe dọa CherryBlos trên Google Play Store nhưng không có mã độc được nhúng trong đó. Ứng dụng này có tên là Synthnet, đã bị Google gỡ bỏ.
Các tác nhân đe dọa này cũng có những điểm chung với một nhóm hoạt động khác liên quan đến 31 ứng dụng lừa đảo kiếm tiền, có tên gọi là FakeTrade, được phân phối trên chợ ứng dụng chính thức dựa trên việc sử dụng cơ sở hạ tầng mạng dùng chung và chứng chỉ ứng dụng.
Hầu hết các ứng dụng đã được tải lên Play Store vào năm 2021 và được phát hiện là nhắm mục tiêu đến người dùng Android ở các quốc gia như Malaysia, Việt Nam, Indonesia, Philippines, Uganda và Mexico.
Trend Micro cho biết: “Những ứng dụng này tuyên bố là các nền tảng thương mại điện tử hứa hẹn tăng thu nhập cho người dùng thông qua việc giới thiệu và nạp tiền. Tuy nhiên, người dùng sẽ không thể rút tiền khi họ cố gắng làm điều đó”.
Không có gì ngạc nhiên khi tin tặc luôn cố gắng tìm kiếm các phương pháp mới để thu hút nạn nhân và đánh cắp dữ liệu nhạy cảm trong bối cảnh các mối đe dọa mạng ngày càng phát triển.
Năm ngoái, Google, đã bắt đầu thực hiện các biện pháp hạn chế việc các ứng dụng Android giả mạo sử dụng sai API trợ năng để bí mật thu thập thông tin từ các thiết bị bị xâm nhập bằng cách chặn hoàn toàn các ứng dụng được tải sẵn sử dụng các tính năng trợ năng.
Ngoài ra, điều quan trọng đối với người dùng là cần luôn cảnh giác khi tải xuống ứng dụng từ các nguồn không xác thực, xác minh thông tin nhà phát triển và xem xét kỹ lưỡng các bài đánh giá ứng dụng để giảm thiểu rủi ro tiềm ẩn.
Đầu tháng này, gã khổng lồ tìm kiếm Google cũng đã thông báo rằng họ sẽ yêu cầu tất cả các tài khoản nhà phát triển mới đăng ký với tư cách là một tổ chức cung cấp số D-U-N-S hợp lệ do Dun & Bradstreet chỉ định trước khi gửi ứng dụng nhằm nỗ lực xây dựng lòng tin của người dùng. Thay đổi này có hiệu lực từ ngày 31/8/2023./.
.jpg "Mã độc FormBook sử dụng phần mềm MalVirt để tránh bị phát hiện")
.jpg "Chìa khóa giải quyết thách thức trong bảo vệ trẻ em trên không gian mạng")
