Một ứng dụng độc hại trên Android có thể đã chôm tài khoản Facebook của hơn 100 ngàn người dựa trên số lượt tải. Nó tên Craftsart Cartoon Photo Tools và hiện đã bị Google gỡ bỏ khỏi Play Store.
Ứng dụng này được quảng cáo là giúp chuyển ảnh chụp thành dạng hoạt hình. Hồi tuần trước, các nhà nghiên cứu bảo mật và công ty bảo mật di động Pradeo đã phát hiện ra nó được nhúng một con trojan tên FaceStealer. Khi mở ứng dụng, người dùng sẽ được yêu cầu đăng nhập Facebook để có thể trải nghiệm toàn bộ chức năng.
Theo nhà nghiên cứu bảo mật từ Jamf - Michael Rajcan thì khi người dùng đăng nhập Facebook, ứng dụng sẽ gởi thông tin này đến một máy chủ tại zutuu[.]info và từ đây kẻ tấn công sẽ có thể lấy được thông tin đăng nhập của người dùng. Dữ liệu còn được gởi đến một trang web khác để quảng bá các ứng dụng Android có FaceStealer.
Pradeo giải thích rằng tác giả và người đăng tải ứng dụng có vẻ như đã dùng cơ chế đóng gói ứng dụng tự động và nhúng một đoạn mã độc nhỏ vào nó nhằm khiến nó qua mặt cơ chế rà soát của Play Store. Bản thân ứng dụng thực tế không cung cấp tính năng gì, nó chỉ đơn giản là cho phép người dùng up ảnh lên dịch vụ chỉnh sửa ảnh online là color.photofuneditor.com, sau đó tự động áp bộ lọc hoạt hình vào ảnh và trả lại kết quả, người dùng có thể tải về ảnh đã chỉnh.
Ứng dụng này được quảng cáo là giúp chuyển ảnh chụp thành dạng hoạt hình. Hồi tuần trước, các nhà nghiên cứu bảo mật và công ty bảo mật di động Pradeo đã phát hiện ra nó được nhúng một con trojan tên FaceStealer. Khi mở ứng dụng, người dùng sẽ được yêu cầu đăng nhập Facebook để có thể trải nghiệm toàn bộ chức năng.
Theo nhà nghiên cứu bảo mật từ Jamf - Michael Rajcan thì khi người dùng đăng nhập Facebook, ứng dụng sẽ gởi thông tin này đến một máy chủ tại zutuu[.]info và từ đây kẻ tấn công sẽ có thể lấy được thông tin đăng nhập của người dùng. Dữ liệu còn được gởi đến một trang web khác để quảng bá các ứng dụng Android có FaceStealer.
Pradeo giải thích rằng tác giả và người đăng tải ứng dụng có vẻ như đã dùng cơ chế đóng gói ứng dụng tự động và nhúng một đoạn mã độc nhỏ vào nó nhằm khiến nó qua mặt cơ chế rà soát của Play Store. Bản thân ứng dụng thực tế không cung cấp tính năng gì, nó chỉ đơn giản là cho phép người dùng up ảnh lên dịch vụ chỉnh sửa ảnh online là color.photofuneditor.com, sau đó tự động áp bộ lọc hoạt hình vào ảnh và trả lại kết quả, người dùng có thể tải về ảnh đã chỉnh.
Thực tế những ứng dụng cung cấp tính năng chuyển đổi, tạo hiệu ứng ảnh xuất hiện nhan nhản trên Play Store. Chúng thực hiện các chức năng này thông qua một máy chủ từ xa thay vì trên thiết bị, từ đó đặt người dùng trước nguy cơ rò rỉ dữ liệu, dữ liệu có thể bị lưu trữ trái phép, chia sẻ hay đem bán.
Do ứng dụng được phát hành hợp lệ trên Play Store nên mặc định người dùng sẽ tin tưởng. Bộ mặt thật của ứng dụng độc hại chỉ lộ khi nó nhận được bão đánh giá 1 sao từ người dùng hay được phát hiện bởi các chuyên gia bảo mật. Tuy nhiên, vẫn có cách để phát hiện ra ứng dụng nào không đáng tin cậy, như trường hợp của Craftsart Cartoon Photo Tools, người dùng có thể đọc đánh giá của người dùng như ảnh trên và nó nhận được chỉ 1.7/5 sao. Nhiều người dùng đã phản hồi rằng ứng dụng giả, không thực hiện được chức năng gì như quảng cáo, lừa đảo và thậm chí có người cảnh báo có thể hack tài khoản Facebook.
Tiếp theo là vào kiểm tra đơn vị phát triển và phát hành ứng dụng, với ứng dụng trên là một công ty có cái tên rất đáng ngờ là Google Commerce Ltd. Mục tiêu của cái tên này là để lừa người dùng rằng nó được phát triển bởi Google nhưng phần email liên hệ lại là Gmail của một người nào đó: susnnaooysh776@gmail.com
Bleeping Computer đã kiểm tra trang của nhà phát triển, nó là một trang Blogspot, trong phần chính sách riêng tư của dự án lại có một email khác với email trên. Khi thử gởi email đến địa chỉ trên trang Blogspot thì email này không tồn tại.
Nếu đã cài đặt và đang sử dụng ứng dụng trên thì người dùng nên gỡ bỏ ngay lập tức đồng thời thiết lập lại mật khẩu Facebook và đặt bảo mật 2 lớp trước khi quá muộn.
Theo: Bleeping Computer
