Vừa qua Singapore đã trở thành mục tiêu của các cuộc gọi lừa đảo ngụy trang dưới mác các dịch vụ chuyển phát nhanh. Những cuộc gọi tự động này sẽ thông báo rằng nạn nhân đã nhận được một kiện hàng và yêu cầu họ cung cấp thông tin cá nhân như họ tên, địa chỉ, số CMND, số hộ chiếu và các chi tiết tài khoản ngân hàng.
Các cuộc tấn công như vậy đã từng diễn ra năm 2014 tại Trung Quốc, nơi những kẻ tấn công giả làm SF Express – một trong những công ty chuyển phát nhanh lớn nhất trong cả nước. Trong một số cuộc lừa đảo gần đây, nạn nhân còn được yêu cầu cài đặt ứng dụng độc hại để những kẻ lừa đảo yêu cầu bồi thường, bao gồm hàng hóa bất hợp pháp (hộ chiếu giả hoặc vũ khí).
Hãng bảo mật Trend Micro cho biết, những vụ lừa đảo cũng cố gắng lấy được thông tin ngân hàng của nạn nhân. Các ứng dụng độc hại được tạo nên để có thể đánh chặn và đánh cắp bất kỳ mã số xác thực nào gửi qua tin nhắn văn bản. Đó là một thủ thuật thường được sử dụng bởi phần mềm độc hại di động. Các mã độc dường như đã được thêm thắt từ một ứng dụng nhắm đến mục tiêu người dùng Trung Quốc và sẽ mở rộng ra nhiều nước khác.
# Hành vi độc hại
Đoạn mã dưới đây là một phần của ứng dụng độc hại chặn bất kỳ tin nhắn văn bản nào mà người dùng được nhận.
Hình 1. Mã chặn tin nhắn văn bản
Đoạn mã này sẽ gửi tin nhắn bị chặn đến mệnh lệnh và kiểm soát máy chủ (C & C).
Hình 2. Mã tải thông điệp đến máy chủ C & C
Tên miền cụ thể trên phân giải địa chỉ IP khác nhau theo các ISP hợp pháp. Tuy nhiên, hai trong số những địa chỉ này cũng có chứa các trang web độc hại khác, trong đó có một trang web giả mạo cho Đại sứ quán Hoa Kỳ tại Trung Quốc.
Trend Micro cũng lưu ý rằng, mã độc hại được tổ chức rất tốt bởi các mô-đun.
Hình 3. Mô-đun mã độc hại
# Những dấu vết trong các ứng dụng khác
Câu hỏi đặt ra: cách tiếp cận mô-đun mã độc này có tồn tại trong các ứng dụng khác không? Kết quả nghiên cứu cho thấy là: CÓ. Tháng 7/2015, Trend Micro tìm thấy một ứng dụng giả mạo CITIC Bank Trung Quốc, nó chứa các mô-đun độc hại tương tự đã được sử dụng để đánh cắp thông tin cá nhân của nạn nhân.
Hình 4. Ứng dụng giả mạo CITIC Bank Trung Quốc
Trend Micro cũng tìm thấy ListenSutra, một ứng dụng Phật giáo liên quan trong Google Play có chứa mã độc hại tương tự.
Hình 5. Ứng dụng ListenSutra trong Google Play
Hình 6. Mô-đun mã độc hại
Dựa trên thông tin của Google Play, Trend Micro cho biết nó được tạo ra bởi một nhà phát triển ứng dụng tại Đài Loan và đã thông báo đến Google về các ứng dụng độc hại này. Dù vậy thì người dùng vẫn phải cẩn thận khi tải các ứng dụng từ các nguồn bên thứ ba hoặc từ các nhà phát triển không rõ nguồn gốc. Hơn hết, người dùng cần có các giải pháp bảo mật di động an toàn có thể giảm thiểu phần mềm độc hại.
NHƯ QUỲNH