Lookout tình nghi phần mềm gián điệp này có liên quan đến nhóm tin tặc APT37 đến từ Triều Tiên, nhắm đến người dùng nói tiếng Hàn và tiếng Anh. Tuy nhiên, người dùng tại nhiều quốc gia khác cũng bị phát hiện cài đặt nhầm các ứng dụng có chứa mã độc.
Tin tặc đã ngụy trang mã độc dưới dạng các ứng dụng quản lý tập tin, sau đó chia sẻ những ứng dụng này trên kho Google Play dành cho smartphone chạy Android.
Các ứng dụng chứa mã độc vẫn cung cấp các chức năng quản lý tập tin như giới thiệu nhằm qua mắt người dùng, nhưng mã độc KoSpy sẽ âm thầm hoạt động trên hệ thống mà họ không hay biết. Một ứng dụng chứa mã độc KoSpy với các chức năng như ứng dụng thông thường, nhưng âm thầm cài đặt thêm mã độc mà người dùng không hay biết
Chuyên gia bảo mật của Lookout cho biết mã độc KoSpy được áp dụng nhiều kỹ thuật tinh vi nhằm qua mắt người dùng và các cơ chế bảo mật trên smartphone.
Sau khi người dùng vô tình cài đặt ứng dụng có chứa KoSpy, mã độc này có thể âm thầm đọc tin nhắn, theo dõi lịch sử cuộc gọi, giám sát vị trí của người dùng theo thời gian thực thông qua GPS, đọc và trích xuất tập tin trên thiết bị, sử dụng micro để ghi âm, dùng camera trên thiết bị để bí mật chụp ảnh/quay video nhằm theo dõi người dùng…
Ngoài ra, mã độc này cũng có thể chụp ảnh màn hình smartphone và âm thầm ghi lại những nội dung gõ phím của người dùng nhằm lấy cắp mật khẩu đăng nhập các tài khoản trực tuyến. Các dữ liệu do mã độc KoSpy lấy cắp sẽ được mã hóa và gửi ra máy chủ bên ngoài do tin tặc kiểm soát để thu thập thông tin người dùng.
LookOut đã gửi báo cáo của mình đến Google và hiện tại các ứng dụng có chứa mã độc này đã bị xóa khỏi kho ứng dụng Google Play. Tuy nhiên, người dùng nếu đã vô tình cài đặt một trong 5 ứng dụng kể trên phải tự gỡ bỏ chúng khỏi smartphone của mình để tránh bị mã độc lấy cắp thông tin.
Các chuyên gia bảo mật cho biết sở dĩ Android trở thành mục tiêu bị nhắm đến của tin tặc nhiều hơn so với iOS vì Android là nền tảng mã nguồn mở, có sự phân mảnh nhiều hơn, do vậy tin tặc sẽ có nhiều sự lựa chọn và nhiều hình thức khác nhau để tấn công người dùng Android.
Đáng chú ý, mặc dù Google có chế độ kiểm tra mức độ "sạch" của các ứng dụng được chia sẻ lên kho ứng dụng Google Play, tuy nhiên, đôi khi vẫn có không ít ứng dụng độc hại qua mặt được máy quét của Google, khiến người dùng bị lừa và nhiễm mã độc dù họ cài đặt ứng dụng trực tiếp từ Google Play.
Các chuyên gia bảo mật khuyến cáo trước khi cài đặt một ứng dụng nào từ Google Play, người dùng cần phải đọc kỹ phần bình luận và đánh giá về ứng dụng. Nếu nhận thấy nội dung đánh giá có phần không thực tế, nhiều bình luận đánh giá giống nhau hoặc không liên quan đến ứng dụng… thì nhiều khả năng đó là những đánh giá ảo để lừa người dùng và bạn không nên cài đặt những ứng dụng có các đánh giá ảo như vậy. |