XLoader: Mã độc Android giả danh Chrome để đánh cắp dữ liệu

Phiên bản mới của phần mềm độc hại XLoader (hay còn gọi là MoqHao), nhắm mục tiêu vào người dùng điện thoại Android mới đây đã được phát hiện bởi các nhà nghiên cứu tại McAfee.

Phần mềm độc hại này được phát tán thông qua tin nhắn văn bản SMS có liên kết rút gọn. Sau khi người dùng nhấp vào liên kết và cài đặt ứng dụng, XLoader sẽ hiển thị thông báo giả mạo Google Chrome, yêu cầu cấp quyền gửi và xem tin nhắn SMS, chạy nền và đặt “Chrome” làm ứng dụng SMS mặc định.

Sau khi có được tất cả các quyền này, XLoader sẽ thu thập và gửi dữ liệu cá nhân của người dùng gồm hình ảnh, tin nhắn văn bản, danh bạ và dữ liệu phần cứng (bao gồm cả số IMEI duy nhất của điện thoại) tới máy chủ điều khiển.

Xloader gửi yêu cầu cấp phép giả mạo trông giống như được gửi từ Google Chrome. Ảnh: McAfee
Xloader gửi yêu cầu cấp phép giả mạo trông giống như được gửi từ Google Chrome. Ảnh: McAfee

McAfee cho biết XLoader được thiết kế để nhắm tới người dùng tại Mỹ, Anh, Đức, Pháp, Nhật Bản, Hàn Quốc và Đài Loan.

McAfee cho biết, phần mềm độc hại XLoader mới nguy hiểm hơn phiên bản trước rất nhiều vì chỉ cần nạn nhân tương tác tối thiểu để có thể xâm nhập.

McAfee đã báo cáo về phiên bản mới của phần mềm độc hại này với Google. Hãng công nghệ cho biết, họ đang nỗ lực triển khai các biện pháp giảm nhẹ để ngăn chặn kiểu thực thi tự động này trong phiên bản Android tương lai.

Google sẽ sớm tung ra bản cập nhật mới cho Google Play Protect, giúp bảo vệ điện thoại khỏi phần mềm độc hại.

Các chuyên gia cảnh báo, người dùng không nên nhấp vào các liên kết rút gọn trong tin nhắn, email và đặc biệt cẩn thận khi cài các ứng dụng lạ để hạn chế tối đa các rủi ro trong tương lai.

5 ứng dụng độc hại đánh cắp tài khoản ngân hàng mà bạn cần xóa ngay khỏi smartphone

Các chuyên gia bảo mật tại ThreatFabric đã phát hiện ra hàng loạt ứng dụng độc hại có chứa mã độc Anatsa có khả năng đánh cắp tài khoản ngân hàng và chiếm đoạt tài sản của người dùng Android từ xa.

Tin tặc sẽ lợi dụng tính năng trợ năng trên những chiếc smartphone Android để tấn công vào thiết bị của người dùng.

5 ứng dụng độc hại đánh cắp tài khoản ngân hàng mà bạn cần xóa ngay khỏi smartphone

Để tránh bị phát hiện, chúng thực hiện việc tấn công một cách âm thầm và triển khai trong nhiều giai đoạn khác nhau. Những phần mềm độc hại này đã xuất hiện trong một khoảng thời gian dài và thu hút hàng trăm nghìn lượt tải xuống trên kho ứng dụng CH Play.

Danh sách chi tiết các ứng dụng độc hại chứa mã độc Anatsa vừa được phát hiện bao gồm:

  • Phone Cleaner - File Explorer
  • PDF Viewer - File Explorer
  • PDF Reader - Viewer & Editor
  • Phone Cleaner: File Explorer
  • PDF Reader: File Manager

Hiện tại, Google đã gỡ cả 5 ứng dụng trên khỏi CH Play. Nếu đã cài đặt các phần mềm này, người dùng cần nhanh chóng gỡ chúng ra khỏi thiết bị đồng thời thực hiện các biện pháp bảo mật nâng cao như thay đổi mật khẩu tài khoản.

Thời gian qua, rất nhiều ứng dụng độc hại này đã vượt qua hệ thống kiểm duyệt của Google và xuất hiện tràn lan trên kho ứng dụng CH Play được phát hiện.

Vì thế, các chuyên gia cảnh báo người dùng smartphone Android cần hết sức cảnh giác mỗi khi cài đặt ứng dụng. Ngay cả khi tải các ứng dụng về từ CH Play cũng phải xem xét kỹ.

12 ứng dụng Android độc hại bạn nên xóa ngay lập tức

Nhà nghiên cứu Lukas Stefanko tại ESET đã phát hiện ra 12 ứng dụng Android bị nhiễm phần mềm độc hại VajraSpy trên Google Play, được thiết kế ngụy trang dưới dạng ứng dụng tin nhắn hoặc tin tức để đánh cắp thông tin cá nhân.

Người dùng sau khi cài đặt ứng dụng Android bị nhiễm VajraSpy có thể bị đánh cắp dữ liệu cá nhân, bao gồm tin nhắn, danh bạ, thậm chí bị ghi âm cuộc gọi điện thoại… và tùy vào quyền hạn mà người dùng cấp cho ứng dụng độc hại mà còn một số rủi ro khác.

12 ứng dụng Android độc hại bạn nên xóa ngay lập tức

Hiện nay, các ứng dụng độc hại này đã bị xóa khỏi Google Play nhưng 6 trong số đó được tải xuống khoảng 1.400 lần trên Google Play. Hiện không rõ có bao nhiêu người đã cài đặt các ứng dụng độc hại do các cửa hàng ứng dụng của bên thứ ba không báo cáo số lượt tải xuống.

Danh sách 12 ứng dụng Android nhiễm phần mềm độc hại VajraSpy bạn nên gỡ bỏ ngay lập tức:

  • Rafaqat رفاقت (tin tức)
  • Privee Talk (nhắn tin)
  • MeetMe (nhắn tin)
  • Let's Chat (nhắn tin)
  • Quick Chat (nhắn tin)
  • Chit Chat (nhắn tin)
  • Hello Chat
  • YohooTalk
  • TikTalk
  • Nidus
  • GlowChat
  • Wave Chat

Theo ESET, hầu hết nạn nhân đều sống ở Pakistan và Ấn Độ. Rất có thể, , nạn nhân bị lừa cài đặt ứng dụng độc hại thông qua các chiêu lừa đảo liên quan đến tình cảm.

VajraSpy là một phần mềm gián điệp và RAT (remote access trojan) có khả năng thu thập và truyền dữ liệu cá nhân, chặn và trích xuất tin nhắn từ các ứng dụng liên lạc được mã hóa phổ biến như WhatsApp và Signal, nghe lén các cuộc trò chuyện riêng tư…

13 ứng dụng độc hại có chứa mã độc Xamalicious

Nhóm nghiên cứu bảo mật tại McAfee vừa phát hiện ra hàng loạt phần mềm có chứa mã độc Xamalicious trên kho ứng dụng Google Play.

Đáng nói, những ứng dụng độc hại này, đã vượt qua hệ thống kiểm duyệt của Google trong thời gian dài và thu hút hàng trăm nghìn lượt tải xuống.

13 ứng dụng độc hại có chứa mã độc Xamalicious

Danh sách chi tiết 13 ứng dụng độc hại được phát hiện gồm có:

  1. Essential Horoscope for Android
  2. 3D Skin Editor for PE Minecraft
  3. Logo Maker Pro
  4. Auto Click Repeater
  5. Count Easy Calorie Calculator
  6. Sound Volume Extender
  7. LetterLink
  8. NUMEROLOGY: PERSONAL HOROSCOPE & NUMBER PREDICTIONS
  9. Step Keeper: Easy Pedometer
  10. Track Your Sleep
  11. Sound Volume Booster
  12. Astrological Navigator: Daily Horoscope & Tarot
  13. Universal Calculator

Các chuyên gia tại McAfee cảnh báo, người dùng rất khó phát hiện ra phần mềm độc hại này dù chúng đã hoạt động trong thời gian dài trên thiết bị.

Thông qua máy chủ từ xa, kẻ gian có thể điều khiển thiết bị và có thể thực hiện nhiều hành vi gian lận như tự động nhấp vào quảng cáo, tấn công các tài khoản của người dùng hay cài đặt ứng dụng.

Vì vậy, người dùng nếu đã cài đặt một trong số 13 ứng dụng độc hại này thì hãy ngay lập tức xóa chúng khỏi smartphone của bạn.

Thời gian qua, hàng loạt phần mềm độc hại trên nền tảng Android đã được phát hiện. Những ứng dụng độc hại này bằng nhiều thủ thuật khác nhau đã vượt qua hệ thống kiểm duyệt của Google và xuất hiện tràn lan trên kho ứng dụng này.

Do đó, mỗi khi cài đặt ứng dụng, người dùng smartphone Android cần hết sức cảnh giác ngay cả khi chúng được tải về từ Google Play.

17 ứng dụng độc hại người dùng Android cần xóa gấp

ESET, công ty bảo mật có trụ sở tại Slovakia, đã phát hiện thấy sự gia đáng báo động của các ứng dụng cho vay lừa đảo trên Android kể từ đầu năm nay.

ESET cho biết, trên thực tế các ứng dụng này được thiết kế để cho vay lãi suất cao kết hợp với phần mềm gián điệp thu nhập thông tin cá nhân và tài chính của nạn nhân để tống tiền. Do đó, ESET đã nhận dạng các ứng dụng này là SpyLoan - tên gọi chung cho các ứng dụng cho vay tiền độc hại.

17 ứng dụng độc hại người dùng Android cần xóa gấp

Các ứng dụng này tự nhận là “dịch vụ cho vay cá nhân hợp pháp” truy cập nhanh chóng và dễ dàng vào các quỹ tiêu dùng cá nhân. Điều này nhằm lừa người dùng đăng ký thanh toán lãi suất cao hơn nhiều so với quy định và thời hạn cho vay ngắn hơn. Kẻ xấu quảng cáo các khoản vay thông qua tin nhắn SMS và phương tiện truyền thông xã hội.

ESET cho biết mục tiêu của những ứng dụng này là người dùng sống ở Đông Nam Á, châu Phi và châu Mỹ Latin.

ESET đã xác định được 18 ứng dụng SpyLoan với hàng triệu lượt tải xuống và báo cáo lên Google. Sau khi nhận được thông báo, Google đã xóa 17 ứng dụng “SpyLoan” khỏi Play Store.

Danh sách 17 ứng dụng SpyLoan đã được Google xóa khỏi Play Store bao gồm:

  • AA Kredit
  • Amor Cash
  • GuayabaCash
  • EasyCredit
  • Cashwow
  • CrediBus
  • FlashLoan
  • PréstamosCrédito
  • Préstamos De Crédito-YumiCash
  • Go Crédito
  • Instantáneo Préstamo
  • Cartera grande
  • Rápido Crédito
  • Finupp Lending
  • 4S Cash
  • TrueNaira
  • EasyCash

Những ứng dụng này có tổng cộng hơn 12 triệu lượt tải xuống trước khi bị xóa nên nếu đã lỡ tay cài đặt, người dùng Android cần gỡ bỏ chúng khỏi thiết bị của mình.

Riêng ứng dụng còn lại duy nhất trong báo cáo không bị xóa do hiện đã thay đổi hành vi hoạt động, không còn là ứng dụng SpyLoan nữa.

18 ứng dụng độc hại chứa mã độc hiển thị quảng cáo, cần xóa ngay

Các chuyên gia bảo mật tại Dr.Web vừa phát hiện ra 18 ứng dụng độc hại giả mạo nhiều trò chơi và tiện ích để thu hút người dùng. Những ứng dụng này đã vượt qua hệ thống kiểm duyệt của Google Play chứa mã độc hiển thị quảng cáo, từ đó tạo ra doanh thu cho tin tặc.

Trước khi bị phát hiện, các ứng dụng này đã đạt được hàng triệu lượt tải xuống, tạo ra doanh thu khủng cho tin tặc.

18 ứng dụng độc hại chứa mã độc hiển thị quảng cáo, cần xóa ngay

Không chỉ hiển thị quảng cáo, một số mã độc còn có khả năng truy cập vào nhiều thông tin khác nhau trên thiết bị khiến dữ liệu và quyền riêng tư của người dùng bị đe dọa.

Danh sách chi tiết 18 ứng dụng độc hại bao gồm:

  • Agent Shooter
  • Rainbow Stretch
  • Rubber Punch 3D
  • Super Skibydi Killer
  • GazEndow Economic
  • MoneyMentor
  • TKF Program
  • FinancialFusion
  • Financial Vault
  • Invest Calculator
  • Eternal Maze
  • Jungle Jewels
  • Stellar Secrets
  • Fire Fruits
  • Cowboy's Frontier
  • Enchanted Elixir
  • Beauty Wallpeper HD
  • Love Emoji Messenger

Trong thời gian gần đây, hàng loạt phần mềm độc hại trên nền tảng Android đã bị phát hiện. Điều này cho thấy, những ứng dụng độc hại bằng nhiều thủ thuật khác nhau, đã vượt qua hệ thống kiểm duyệt của Google và xuất hiện tràn lan trên kho ứng dụng này.

Vì thế, theo các chuyên gia bảo mật, mỗi khi cài đặt ứng dụng người dùng smartphone cần hết sức cảnh giác, ngay cả khi chúng được tải về từ Google Play.

Trong trường hợp đã cài đặt những phần mềm độc hại nêu trên, người dùng cần nhanh chóng gỡ chúng khỏi thiết bị của mình.

Để gỡ bỏ ứng dụng độc hại trên smartphone Android, bạn cần truy cập vào Cài đặt/Settings -> chọn thẻ Ứng dụng/Applications -> chọn mục Manage applications -> tìm ứng dụng cần gỡ bỏ, nhấp vào nó và chọn Gỡ cài đặt hoặc Uninstall.

CÓ THỂ BẠN QUAN TÂM