Hàng loạt ứng dụng giáo dục tại Việt Nam chứa mã độc

Ảnh chụp màn hình của một số ứng dụng giáo dục dành cho thiết bị di động có chứa phần mềm độc hại Schoolyard Bully Trojan. Hình ảnh lịch sự của Zimperium zLabs

Công ty bảo mật di động Zimperium zLabs cho biết trong một thông báo hôm thứ Năm rằng phần mềm độc hại có tên Schoolyard Bully Trojan, nhắm mục tiêu vào thông tin cá nhân của người dùng Facebook từ năm 2018, đã lây lan cho hơn 300.000 nạn nhân, chủ yếu ở Việt Nam.

Theo Zimperium, hiện có khoảng 37 ứng dụng trôi nổi khắp Việt Nam có chứa Schoolyard Bully Trojan, bao gồm cả những ứng dụng có tên tiếng Việt nhắm vào học sinh bằng cách giúp họ làm bài tập về nhà.

Tất cả các ứng dụng này đã bị xóa khỏi Play Store, nhưng chúng vẫn có sẵn trên các cửa hàng ứng dụng của bên thứ ba, nghĩa là sẽ có nhiều nạn nhân hơn. Trên một trang web lưu trữ các file apk, các ứng dụng này do một tài khoản có tên tiếng Việt tải lên và một số ứng dụng này đã có hàng trăm nghìn lượt tải xuống.

Trong một trò ảo thuật kỹ thuật số, các ứng dụng này vẫn cung cấp các dịch vụ mà chúng quảng cáo, nhưng một số chức năng yêu cầu đăng nhập Facebook để sử dụng. Các nhà nghiên cứu cho biết mặc dù các yêu cầu đăng nhập là hợp pháp nhưng phần mềm độc hại sử dụng mã JavaScript độc hại để đánh cắp thông tin của người dùng. Thông tin đăng nhập như số điện thoại, địa chỉ email và mật khẩu được nhắm mục tiêu, cũng như thông tin cá nhân khác có sẵn thông qua các thiết bị mà chúng được lưu trữ trên đó

Không có thông tin nào được tiết lộ về người có thể chịu trách nhiệm về phần mềm độc hại. Tuy nhiên, các chuyên gia cho rằng các phần mềm độc hại tương tự có thể giải thích cho việc một số tài khoản Facebook tại Việt Nam đã bị đánh cắp và rao bán trên các diễn đàn dữ liệu của tin tặc trong thời gian gần đây.

Gần 40 ứng dụng sổ tay, giải bài tập trên Android bị phát hiện chứa mã độc đánh cắp thông tin, ảnh hưởng hàng trăm nghìn người dùng

Phát hiện Zimperium zLabs công bố ngày 12/1. Hãng bảo mật Mỹ cho biết mã độc này có tên Schoolyard Bully Trojan, hoạt động từ năm 2018. Mã độc này đã lây lan cho hơn 300.000 nạn nhân trên khắp thế giới, trong đó phần lớn là người dùng Việt Nam, thông qua các ứng dụng. Các ứng dụng được phát triển dành cho sinh viên

Theo Zimperium, có gần 37 ứng dụng chứa Schoolyard Bully Trojan, trong đó có những ứng dụng sử dụng tên tiếng Việt, được đặt tên theo từng môn học, khối lớp và được tìm kiếm nhiều như Sổ Tay Offline – Giải Bài Tập & Ôn Tập, Giải Bài Tập Offline, Soạn Văn, Giải Đề

Tất cả đã bị xóa khỏi Cửa hàng Play, nhưng vẫn tồn tại trên các cửa hàng ứng dụng của bên thứ ba. Do đó, số nạn nhân có thể cao hơn 300.000 và tiếp tục tăng. Chẳng hạn, trên một trang chuyên tải file apk, các ứng dụng này được đăng tải bởi một tài khoản có tên tiếng Việt, một số ứng dụng đã thu hút hàng trăm nghìn lượt tải xuống.

Ảnh chụp màn hình giao diện một số ứng dụng giáo dục chứa Schoolyard Bully Trojan. Hình ảnh. Zimperium zLabs

Về cơ chế hoạt động, các ứng dụng này vẫn cung cấp đúng thông tin mà người dùng cần, nhưng có một số tính năng yêu cầu đăng nhập tài khoản Facebook để sử dụng. Theo các nhà nghiên cứu, trang đăng nhập cũng hợp pháp nhưng ứng dụng đã chèn mã JavaScript để trích xuất thông tin đầu vào

Khi đó, dữ liệu đăng nhập của người dùng sẽ bị đánh cắp và gửi về máy chủ của nhà phát triển. Người đứng sau có thể lấy được các thông tin như số điện thoại, email và mật khẩu đăng nhập Facebook. Ngoài ra một số thông tin về máy như tên máy, RAM cũng được gửi. Để tránh bị phát hiện, những ứng dụng này thường được viết bằng thư viện gốc của Android. Các chuỗi dữ liệu bị đánh cắp cũng được mã hóa trước khi gửi qua các công cụ bảo mật

Hiện chưa có thông tin về nhóm đứng sau loạt ứng dụng và mã độc. Năm 2021, mã độc FlyTrap cũng bị phát hiện nhắm vào người Việt Nam với cách thức hoạt động tương tự khi lợi dụng nhu cầu mua mã giảm giá dịch vụ trực tuyến

Mới đây, nhiều tài khoản Facebook Việt Nam đã bị hacker đánh cắp và rao bán trên chợ dữ liệu. Theo các chuyên gia, những mã độc như FlyTrap, Schoolyard Bully Trojan có thể là một phần nguyên nhân dẫn đến tình trạng đó, và hậu quả có thể kéo dài là do người dùng có thói quen dùng chung mật khẩu, không thay đổi mật khẩu. định kỳ. Việc sử dụng các ứng dụng không rõ nguồn gốc cũng làm tăng nguy cơ bị lộ thông tin

Các ứng dụng Android độc hại đội lốt công cụ giáo dục đã đánh cắp thông tin đăng nhập Facebook của hàng trăm nghìn người trong vài năm qua, U. S. công ty bảo mật di động Zimperium cho biết hôm thứ Năm

Chiến dịch “Schoolyard Bully” — một loạt virus Trojan cải trang thành ứng dụng giáo dục cung cấp nội dung như sách và chủ đề cho học sinh — đã lây nhiễm hơn 300.000 nạn nhân và được thiết kế đặc biệt để quét thông tin đăng nhập Facebook, đơn vị zLabs của Zimperium cho biết hôm thứ Năm. Mặc dù các mục tiêu của chiến dịch phần lớn nằm ở Việt Nam, nạn nhân cũng trải rộng trên 71 quốc gia khác nhau

Hoạt động từ năm 2018, chiến dịch trojan được thiết kế để đánh cắp và tải thông tin đăng nhập lên các máy chủ do tác nhân kiểm soát đe dọa. Đã bị xóa khỏi Cửa hàng Play của Google — cửa hàng lớn nhất thế giới với hơn 3. 5 triệu ứng dụng có thể tải xuống — Schoolyard Bully tiếp tục có sẵn và gây rủi ro cho học sinh thông qua các cửa hàng ứng dụng của bên thứ ba, Zimperium cho biết

Các nhà nghiên cứu cho biết: “Gần 64% cá nhân sử dụng cùng một mật khẩu đã bị lộ trong một lần vi phạm trước đó. “Với tỷ lệ người dùng tái chế mật khẩu, không có gì ngạc nhiên khi Schoolyard Bully Trojan đã hoạt động trong nhiều năm. ” Như vậy, Trojan đặc biệt hiệu quả trong việc quẹt tài khoản tài chính

Tiêm JavaScript thông qua đăng nhập Facebook hợp pháp

Schoolyard Bully thu thập dữ liệu như tên và ID hồ sơ Facebook, email và số điện thoại cũng như mật khẩu người dùng. Nó cũng lấy tên thiết bị của người dùng và thông tin phần cứng và phần mềm của thiết bị. Bằng cách sử dụng “thư viện gốc”, vi-rút có thể trốn tránh một số lần quét chống vi-rút đe dọa

Các nhà nghiên cứu cho biết Schoolyard Bully nhắm vào cả nạn nhân Việt Nam và quốc tế. Khi người dùng nhập thông tin đăng nhập tài khoản Facebook của họ trong ứng dụng thông qua trang Facebook WebView hợp pháp, dữ liệu sẽ được truyền âm thầm và trích xuất tới máy chủ chỉ huy và kiểm soát do tác nhân đe dọa kiểm soát thông qua Javascript injection

“Trojan mở URL hợp pháp bên trong một WebView với javascript độc hại được đưa vào để trích xuất số điện thoại, địa chỉ email và mật khẩu của người dùng, sau đó gửi nó đến Firebase C&C đã định cấu hình. ”

Tương tự như Schoolyard Bully, các nhà nghiên cứu của Zimperium lưu ý rằng các chiến dịch vi-rút gần đây như “FlyTrap” cũng được tuyên truyền bởi các tác nhân đe dọa Việt Nam. Tuy nhiên, thủ phạm dường như khác với “FlyTrap”, vì các chiến dịch hoạt động khác nhau và sử dụng các mã khác nhau

Hãy thận trọng với các ứng dụng và cửa hàng ứng dụng của bên thứ ba

Các ứng dụng của bên thứ ba có thể tìm đường vào bất kỳ cửa hàng ứng dụng nào, bất kể danh tiếng và bảo mật mà họ có thể có. Tuy nhiên, theo thống kê, chúng hiện diện nhiều hơn trên Google Play và các cửa hàng ứng dụng của bên thứ ba hướng đến Android. Tháng 10 này, các nhà nghiên cứu bảo mật Meta đã xác định hơn 400 ứng dụng dành cho thiết bị di động nhắm mục tiêu người dùng Facebook trên Google Play

Apple được biết là nghiêm ngặt hơn trong việc xác minh các ứng dụng trên cửa hàng ứng dụng của họ và về việc cho phép "tải phụ", điều này có thể cho phép tin tặc vượt qua các biện pháp bảo vệ của Apple

Ứng dụng của bên thứ ba là những ứng dụng được tạo bởi một người nào đó không phải là nhà cung cấp hoặc nhà sản xuất ban đầu mà ứng dụng được thiết kế cho, trong khi các cửa hàng ứng dụng của bên thứ ba thường được định nghĩa là những cửa hàng không bao gồm Cửa hàng Play của Google và Cửa hàng ứng dụng của Apple. Chúng có thể bao gồm các cửa hàng ứng dụng Android và Amazon Appstore nhỏ hơn nhiều phục vụ cho thị trường Trung Quốc, như Huawei AppGallery và Tencent's Appstore

Chúng tôi khuyên bạn nên sử dụng trình quét chống vi-rút cao cấp như Kaspersky Security Cloud Free trên thiết bị Android của mình để có thể gắn cờ các ứng dụng và trang web đáng ngờ trước khi chúng có cơ hội xâm nhập vào thiết bị của bạn. Nếu bạn nghi ngờ thiết bị di động của mình có thể đã bị nhiễm, hãy nhớ xem hướng dẫn loại bỏ phần mềm độc hại trên Android của chúng tôi