Cẩn trọng mã độc đánh cắp tiền cước điện thoại di động

Các chuyên gia của hãng nghiên cứu bảo mật Avast vừa phát hiện một loại mã độc nguy hiểm lây nhiễm trên smartphone Android của người dùng tại hơn 80 quốc gia.

Theo các chuyên gia bảo mật, mã độc mang tên UltimaSMS, được phát tán thông qua 151 ứng dụng lừa đảo trên kho ứng dụng CH Play của Google, thu hút tổng cộng hơn 10,5 triệu lượt tải về.

Các chuyên gia bảo mật của Avast cho biết, mã độc này đã được phát tán tại hơn 80 quốc gia trên thế giới, trong đó bao gồm Việt Nam. Đáng chú ý, Ai Cập, Saudi Arabia, Pakistan… là những quốc gia có số lượng thiết bị nhiễm loại mã độc này nhiều nhất.

Theo cảnh báo của các chuyên gia, loại mã độc này "đội lốt" các ứng dụng thường được người dùng tải về sử dụng như ứng dụng xử lý ảnh, quét mã QR, chỉnh sửa video, chặn cuộc gọi, game… trên kho ứng dụng CH Play dành cho nền tảng Android.

can-trong-ma-doc-danh-cap-tien-cuoc-dien-thoai-di-dong

 Một ứng dụng lừa đảo nhằm lấy số điện thoại người dùng, sau đó đăng ký dịch vụ tin nhắn có thu phí để lấy cắp tiền cước. Ảnh: Avast.

Sau khi cài đặt ứng dụng chứa mã độc, các thông tin trên smartphone của người dùng sẽ bị khai thác, bao gồm vị trí địa lý, số điện thoại, mã số IMEI của thiết bị… Dựa vào những thông tin thu thập được, mã độc sẽ tự động đăng ký số điện thoại của người dùng với một dịch vụ tin nhắn có mất phí mà họ không hề hay biết. Dịch vụ tin nhắn này sẽ tự động trừ tiền từ gói cước trên smartphone của người dùng với mức trừ có thể lên đến 40 USD/tháng hoặc thậm chí cao hơn.

Cũng theo các chuyên gia, nhiều người dùng bị nhiễm mã độc phải mất vài tuần hoặc vài tháng mới có thể nhận ra việc cước phí điện thoại bị trừ vì những dịch vụ tin nhắn mà họ không hề đăng ký. Đến lúc này, họ đã bị mất một số tiền không hề nhỏ. 


Đáng chú ý là ngay cả khi người dùng đã gỡ bỏ những ứng dụng có chứa mã độc, họ vẫn có thể tiếp tục bị trừ tiền do đã đăng ký vào dịch vụ tin nhắn có thu phí.

Hiện tại, Avast đã liên hệ với Google để thông báo về loại mã độc UltimaSMS và cung cấp danh sách các ứng dụng có chứa mã độc này để Google gỡ bỏ khỏi CH Play.

Trong cùng diễn biến, mới đây, một loại mã độc mới được phát hiện đã lây nhiễm hơn 10 triệu smartphone chạy Android tại hơn 70 quốc gia trên toàn cầu, trong đó có cả Việt Nam.

Theo đó, loại mã độc có tên gọi GriftHorse, được phát hiện bởi các nhà nghiên cứu tại công ty chuyên về bảo mật di động Zimperium (Mỹ). Loại mã độc này sẽ "mạo danh" các ứng dụng bình thường được chia sẻ trên kho ứng dụng CH Play dành cho nền tảng Android, điều này khiến mã độc qua mặt được cơ chế kiểm duyệt của Google và các công cụ diệt virus trên smartphone cũng không thể phát hiện được mã độc tồn tại bên trong các ứng dụng.

Một khi ứng dụng chứa mã độc được cài đặt lên thiết bị, các ứng dụng này sẽ thường xuyên hiển thị những hộp thoại quảng cáo về những quà tặng hay chương trình khuyến mãi trên smartphone. Khi người dùng nhấn vào các quảng cáo hấp dẫn này sẽ được yêu cầu điền số điện thoại của họ để nhận giải thưởng. Những người dùng nhẹ dạ cả tin điền số điện thoại sẽ vô tình đăng ký vào một dịch vụ nhắn tin, với phí sử dụng lên đến 35 USD/tháng hoặc có thể cao hơn. Số tiền này sẽ được chuyển trực tiếp vào nhóm tin tặc đứng sau mã độc GriftHorse.

Zimperium ước tính hiện đã có hơn 10 triệu smartphone tại hơn 70 quốc gia trên toàn cầu bị nhiễm loại mã độc GriftHorse, giúp nhóm tin tặc đứng sau mã độc này kiếm được số tiền từ 1,5 triệu đến 4 triệu USD mỗi tháng.

Aazim Yaswant và Nipun Gupta, hai nhà nghiên cứu bảo mật của Zimperium, đánh giá cao loại mã độc GriftHorse vì có khả năng ngụy trang mạnh mẽ, giúp qua mặt được Google để phát tán trên chính kho ứng dụng CH Play, vốn có cơ chế kiểm duyệt và chống mã độc rất gắt gao.

Các chuyên gia bảo mật của Zimperium ước tính đã có hơn 200 ứng dụng chứa mã độc GriftHorst được phát tán trên CH Play. Các ứng dụng này thuộc nhiều danh mục khác nhau, từ các ứng dụng giải đố, nhắn tin, hẹn hò, game hay các ứng dụng chăm sóc sức khỏe… trong đó có những ứng dụng đã có hơn một triệu lượt tải.

Điều đáng nói, Zimperium cho biết các loại mã độc này đã bắt đầu được phát tán từ tháng 11/2020, nhưng đến nay mới được phát hiện, điều này cho thấy có một lỗ hổng trong việc kiểm duyệt cũng như kiểm tra các loại ứng dụng có chứa mã độc trên CH Play của Google.

Hiện tại Zimperium đã liên hệ với Google để thông báo về loại mã độc GriftHorse và cung cấp danh sách các ứng dụng có chứa mã độc này để Google gỡ bỏ chúng ra khỏi CH Play. 

Theo VietQ