An ninh mạng Facebook bị đe dọa bởi mã độc quảng cáo Ghost Team

Trong khoảng thời gian từ 2017 – 2019, Trend Micro đã phát hiện hàng trăm mã độc đe dọa an ninh mạng trên Facebook trên các Store nổi tiếng của Android hay Apple, thậm chí tin tặc còn lén lút chạy quảng cáo cho ứng dụng hòng có thêm nhiều lượt tải.

Trend Micro cảnh báo về những vấn đề an ninh mạng facebook đã xảy ra và có xu hướng lặp lại.

Nhiều ứng dụng trong số này đã xuất hiện từ đầu năm 2017 nhưng đến hiện nay vẫn chưa có cách xử lý triệt để từ các nhà phát hành hoặc đơn giản là chúng đã tạo tài khoản mới và Reup như trước. Mã độc được lây lan mạnh nhất mà Trend Micro phát hiện có tên là Androidos_ghostteam. Thậm chí, mã độc này đã có riêng phiên bản tiếng việt bởi làn sóng sử dụng điện thoại thông minh ở Việt Nam ngày càng tăng.

Mã độc quảng cáo Ghost Team là gì?

Ban đầu chúng xuất hiện với cách mọi người hình dung như một ứng dụng thông thường. Tuy nhiên, sau vài bản cập nhật chúng đã chính thức biến hóa thành ứng dụng có chứa quảng cáo trục lợi hoặc đánh cắp những thông tin quan trọng trong thiết bị của người dùng thông qua các quảng cáo Facebook hoặc Instagram.

Mã độc GhostTeam là do một nhóm hacker cùng tên tạo ra và gây ra nhiều vấn đề an ninh mạng facebook.

Các ứng dụng được Trend Micro phát hiện thường là các tiện ích cho điện thoại thông minh như đèn pin, quét mã QR, la bàn v.v… cho đến các ứng dụng quét dọn hoặc làm tăng hiệu suất của điện thoại di động và đăng chú ý hơn các lượt tải xuống lại chủ yếu xuất phát từ các quảng cáo hợp pháp mà tin tặc đang sử dụng Facebook là chính. Điều này đe dọa an ninh mạng đặc biệt là ở Facebook, bởi ngay từ ở Facebook thì chúng đã có thể đánh cắp tài khoản rồi.

Qua các phân tích chúng tôi phát hiện ra rằng mã độc Facebook đe dọa an ninh mạng không chỉ ở tại các quốc gia phát triển như Châu Âu hay Mỹ mà chúng còn đặc biệt phát triển mạnh ở những quốc gia thuộc Châu Á như Ấn Độ, Indonesia, Brazil, Philipines và cả ở Việt nam. Đây cũng là những quốc gia sở hữu lượng người sử dụng facebook nhiều nhất trên thế giới và bị lây lan mã độc bởi GhostTeam.

Các thống kê cho thấy an ninh mạng Facebook bị đe dọa ra sao?

Trái với suy nghĩ ban đầu của chúng tôi, các Hacker không chỉ lấy các thông tin đăng nhập Facebook mà chúng còn giành luôn cả quyền điều khiển trên thiết bị đã bị xâm nhập trước đó. Hiển thị quảng cáo để kiếm tiền bất chính và sử dụng như một Spambot. Khiến các thiết bị đó trở thành Zombie tiếp tục spam những quảng cáo trên facebook gây de dọa nhiều đến an ninh mạng. Từ các thiết bị đó mã độc có thể lây lan nhiều hơn qua các người quen của họ.

Biểu đồ miêu tả những quốc gia bị ảnh hưởng nhiều nhất bởi mã độc GhostTeam.

Một manh mối khác chỉ ra các ứng dụng Nhà phát triển ứng dụng: Chuỗi ma ghostteamen xuất hiện trong các phiên bản đầu tiên của mã Phần mềm độc hại. Gói ghostteam chứa mã khuyến khích người dùng cài đặt tải trọng. Chúng được ngụy trang dưới dạng tên gói giả mạo nhà cung cấp dịch vụ công nghệ và internet hợp pháp.

Cách GhostTeam đánh cắp thông tin đăng nhập của Facebook

Để đảm bảo lây nhiễm, phần mềm độc hại sẽ chỉ truy xuất tải trọng sau khi xác nhận rằng thiết bị không phải là trình giả lập hoặc môi trường ảo. Tải trọng ngụy trang thành Dịch vụ Google Play của Google, giả vờ xác minh một ứng dụng. Nếu người dùng không mong muốn mở Google Play hoặc Facebook, nó sẽ hiển thị cảnh báo kêu gọi nạn nhân sẽ cài đặt Dịch vụ Google Play giả mạo. Sau khi cài đặt, tải trọng cũng sẽ nhắc người dùng kích hoạt / kích hoạt quản trị viên thiết bị.

GhostTeam có khả năng đánh cắp toàn bộ thông tin quan trọng như tài khoản Facebook.

Như hình minh họa các mã độc này sẽ hoạt động như một Ransomware lây lan càng nhiều hệ thống càng tốt nhưng không có bât kì hoạt động nào cho đến khi các Hacker kích hoạt lây lan đồng loạt. GhostTeam nhắm mục tiêu tài khoản Facebook. Khi người dùng mở ứng dụng Facebook, một hộp thoại sẽ nhắc anh ta xác minh tài khoản của mình. Quá trình xác minh là một thủ tục đăng nhập điển hình. Tuy nhiên, đằng sau hậu trường, nó thực thi một WebView (chịu trách nhiệm hiển thị các trang web trong ứng dụng Android).

GhostTeam cũng đẩy mạnh trên các quảng cáo có trả phí cho mục đích lây lan trên facebook. Điều này càng tăng thêm sự uy tín của chúng khiến người dùng tin tưởng và tải về các ứng dụng có chứa mã độc đó.

Vậy đâu là cách bảo mật tốt nhất?

Mặc dù các mã độc quảng cáo không hẳn là xấu ban đầu đều là vì mục đích kiếm tiền. Tuy nhiên, việc hiển thị quá nhiều quảng cáo cũng như có các hoạt động mờ ám phía sau lại là câu chuyện khác.

Mọi doanh nghiệp nên có những giải pháp bảo mật như Trend Micro.

Các chuyên gia tại Trend Micro luôn khuyên khách hàng dù ở bất cứ thiết bị nào cũng nên có sự chuẩn bị cũng như phòng thủ tốt nhất. Chúng tôi đã tiết lộ những phát hiện của mình cho Google, công ty đã nhanh chóng xóa tất cả các ứng dụng độc hại trong Google Play. Các bản cập nhật cũng đã được thực hiện cho Google Play Protect để có hành động thích hợp. Tuy nhiên, bạn cũng nên có sự chuẩn bị dự phòng từ các hãng bảo mật chuyên nghiệp như Trend Micro.

--------

Cùng việc hợp tác với Synk, Trend Micro sẽ sớm có thêm công nghệ tự tìm kiếm những lỗ hổng bảo mật, tăng cường thêm các chức năng bảo vệ quan trọng cho hệ thống máy tính của các khách hàng thường xuyên.