Tin An Ninh Mạng

Ứng dụng Craftsart Cartoon Photo Tools với hơn 100.000 lượt tải trên Play Store có chứa mã độc

1490893114hacker-500.jpg
Ứng dụng Craftsart Cartoon Photo Tools tồn tại trên cửa hàng ứng dụng chính thức Play Store, thực chất là một phần mềm gián điệp có khả năng đánh cắp thông tin đăng nhập các tài khoản mạng xã hội của nạn nhân.

Craftsart Cartoon Photo Tools là một ứng dụng phổ biến trên Play Store với hơn 100.000 lượt cài đặt. Ứng dụng này đã bị chèn một phiên bản của phần mềm độc hại “Facestealer” dành cho hệ điều hành Android.

{
,

}

android.jpg

Theo các nhà nghiên cứu tại Pradeo, ứng dụng này hoạt động bình thường như những công cụ chỉnh sửa ảnh khác, cho phép người dùng chuyển đổi một bức ảnh thông thường sang một bức ảnh với phong cách hoạt hình hoặc hội họa. Tuy nhiên, nó chứa “các đoạn mã độc hại dễ dàng bị phát hiện bởi các công cụ an ninh”.

Facestealer là một phần mềm độc hại Android khá phổ biến, đã tồn tại trong Google Play trước đó thông qua các ứng dụng hợp pháp có kèm mã độc. Theo phân tích của Malwarebytes, khi ứng dụng lần đầu tiên được khởi chạy, nó sẽ chuyển hướng người dùng đến trang đăng nhập Facebook hợp pháp và yêu cầu người dùng đăng nhập trước khi sử dụng. Sau đó, JavaScript độc hại được chèn vào có nhiệm vụ đánh cắp thông tin đăng nhập và gửi chúng đến máy chủ C2, rồi sử dụng thông tin xác thực để đăng nhập vào tài khoản.

Tiếp theo, trojan sẽ tiến hành đánh cắp thông tin về tài khoản mạng xã hội như địa chỉ email, địa chỉ IP, số điện thoại, lịch sử trò chuyện và nhắn tin, chi tiết thẻ tín dụng, danh sách bạn bè,…

Các nhà nghiên cứu cho biết: “Khi thông tin đăng nhập của một tài khoản mạng xã hội bị đánh cắp có thể gây ra hậu quả nghiêm trọng. Nó cho phép hacker thu thập nhiều thông tin về tài khoản. Thông tin đăng nhập Facebook được tội phạm mạng sử dụng để tiến hành nhiều hoạt động xấu, phổ biến nhất là gian lận tài chính, gửi các liên kết và phát tán tin tức giả mạo”.

Qua phân tích, Craftsart Cartoon Photo Tools tạo kết nối với tên miền được đăng ký bởi người Nga, đã được sử dụng ít nhất 7 năm làm địa chỉ lệnh và kiểm soát (C2) cho các ứng dụng Android độc hại khác nhau.

Nhà nghiên cứu giải thích: “Tên miền này được kết nối với nhiều ứng dụng di động độc hại đã từng tồn tại trên Play Store. Để duy trì sự hiện diện trên Google Play, việc đóng gói lại các ứng dụng dành cho thiết bị di động là phương pháp phổ biến của tội phạm mạng. Có nhiều trường hợp việc đóng gói ứng dụng lại các ứng dụng được thực hiện một cách tự động”.

Các nhà nghiên cứu của Pradeo đã thông báo cho nhóm Google Play về ứng dụng này. Nhưng hiện tại, nó vẫn có sẵn trong kho ứng dụng chính thức. Vì vậy người dùng nên xóa ngay ứng dụng ra khỏi điện thoại của mình và hạn chế tải về những ứng dụng lạ tràn lan, chú ý đến điểm xếp hạng và các bình luận đánh giá của những người dùng khác trên kho ứng dụng.

Theo threatpost

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !