Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam.

    Theo một báo cáo hôm nay 18/01/2018 , các nhà nghiên cứu bảo mật Avast đã phát hiện ra malware với tên gọi GhostTeam, malware chuyên lấy cắp mật khẩu Facebook và hiển thị quảng cáo pop-up liên tục cho nạn nhân, GhostTeam ngụy trang bên trong nhiều tiện ích đa dạng như đèn pin, quét mã QR, tăng hiệu năng, giải trí và các ứng dụng hỗ trợ tải video – Hầu hết người dùng bị ảnh hưởng bởi phần mềm GhostTeam được báo cáo là cư trú ở Ấn Độ, Indonesia, Brazil, Việt Nam và Philippines. Đã có hơn 35.000 smartphone tại Việt Nam nhiễm GhostTeam.

 

Các quốc gia bị phát tán và lây nhiễm mã độc GhostTeam

Những ứng dụng chứa mã độc này đã từng được chia sẻ lên Google Play từ tháng 4/2017 nhưng chỉ mới được phát hiện gần đây. Trong đó có những ứng dụng đã có hơn 100.000 lượt tải và sử dụng như: ứng dụng “Lịch Vạn Niên”, “Lịch Vạn Sự”, “Lịch Âm”, ứng dụng la bàn, máy quét mã QR, ứng dụng tối ưu hóa và dọn rác… Theo các chuyên gia bảo mật của Avast thì đa phần những ứng dụng này có chứa mã độc GhostTeam được tạo ra được nghi có nguồn gốc từ Việt Nam. Nhiều ứng dụng độc hại này có ngôn ngữ mặc định là tiếng Việt, với phần giới thiệu về ứng dụng trên Google Play là tiếng Việt và các ứng dụng này liên kết với những máy chủ đặt tại Việt Nam.


Các ứng dụng quen thuộc phát tán GhostTeam

Hầu hết các ứng dụng trên ban đầu không có mã độc để qua mắt Google và thiết bị Android, tuy nhiên sau khi cài đặt lên thiết bị của người dùng, ứng dụng này sẽ kết nối với máy chủ ở bên ngoài để tải thêm một ứng dụng phụ thứ hai, đây mới chính là ứng dụng có chứa mã độc hại. Ứng dụng thứ hai này thường được ngụy trang dưới dạng ứng dụng cấp hệ thống. Tin tặc sẽ sử dụng cảnh báo bảo mật giả mạo hiển thị trên ứng dụng được cài đặt ban đầu để lừa người dùng cài đặt thêm ứng dụng phụ thứ hai này và giành quyền quản trị. Khi ứng dụng chứa mã độc chiếm được quyền quản trị trên thiết bị, mã độc sẽ bắt đầu hiển thị các quảng cáo trên smartphone của người dùng.

Khi nạn nhân vừa mở Facebook, malware ngay lập tức sẽ thúc nạn nhân xác minh tài khoản Facebook của họ lại lần nữa. Thay vì khai thác các lỗ hổng của hệ thống hay ứng dụng, nó chỉ sử dụng phương thức “phishing” thông thường bằng cách tự động tải những đoạn mã JavaScript độc hại và mở một màn hình Webview giống hệt màn hình đăng nhập Facebook. Ngay khi người dùng đăng nhập tài khoản lên trình duyệt WebView này, các thông tin về tài khoản, mật khẩu của nạn nhân sẽ được gửi tới một máy chủ của hacker. Trong một số trường hợp, mã độc này có thể đánh cắp dữ liệu trực tiếp từ ứng dụng Facebook trên smartphone thay vì tạo ra trang giả mạo để người dùng đăng nhập vào tài khoản Facebook của mình rồi mới đánh cắp.


Giao diện Facebook giả mạo trên WebView.

Đồng thời do các kết nối đến máy chủ từ xa được thực hiện bằng cách sử dụng HTTP ( không được mã hóa) nên nếu ai đó giám sát giao tiếp của người dùng, họ cũng có thể ăn cắp thông tin người dùng trong Plaintext của Android.


Thông tin trong Plaintext gởi đến máy chủ.

---------------------------

IOCs:

http://mspace[.]com[.]vn

http://optimuscorp[.]pw

APPS: Người dùng tải xuống những APK độc hại trên Google Play – SHA256 (Vui lòng kiểm tra trên VirusTotal)

Com.azmobie.blockhexa

EFCA498B6A6715337CDEDF627690217CEF2D80D1C8F715B5C37652F556134F7E

Com.bestsoftfree.audiorecorder F3223010D0BEACE2445561BCB62FFAA491423CAD0B94CA0C811A8E165B9B94A8

Com.softedu.sieumaytinh

3D04094251D48AC7F42D52FA460AB46384AF656581EC39D149F76DB8DCA058AE 50CAD37A8FC9E317FD521F32A2ADAA0B2B5013832864DEEDD10B078A7F661CF4

com.goodtool.studio.app.tool.Share.TransferFile 0E7DF5409D657205BB82A2698D0E18B3A6F42B6A82C82C5FFEEEC45D0970C6B4

Com.cosy.app.tool.compass 17D788D6A77E4BB2A59562EBAC24568337B095CA9E63E6A1559AC3ADFEC26FE3

com.cosy.app.tool.home.Touch.Assistive E69C1BD90B6CAE22DC7968657F3A550D584D9747F6D9FDC62DFE6C66AD7DCC0E

com.cosy.app.tool.Brightest.led.Flashlight EA9C392D1779E3630053BF5B469E2AE10FDABC90D27030F1812791D32E0E3B54

Com.azmobile.chessmaster

8C34B7D233868811AF12364FF783FB9CDDBD8D900B6FEE7285723F4190E9721C

Com.calendar.appfree.lichvannien 79529115E98401C15AC23803E095234619FB326E40EF2E6FD166A8D67F74A573

Com.lichcom.tuvi.lich.mautuat 77A67D58CBCA8E3F50329EAD2F6DBA6B75833AE6E240FB1BEF0E5027EAA14146

 Ngoài ra còn một số tệp tải xuống như:

6F3E51FB8545D29BB5A5B93672A887462417096C741358C2BAF92872778D6232

45543FA9D222AE4B1932E9D44EDB895FF5BB2E1CB3F4A64E781F1B6EC921A374

10F54212197D5D4AB7E16E1E193D9B9F8EAB742D977AB0E37DF75516EBA5F23A

5F6497BAB8B6C74E1658D74F05C012619423AA8CE07E419329887D7CA43C7718

F041BAE2BFBE0CB07FC3687D5EF0EA03350C682B332A60DAD3BD11D6244CD41E

B984502129DBDEA1889A3BC36EF1F82377F5529809A555FEA0FAEA370D1ADE57

D153F355BB0C87F4BAA592858E8C891919B214605F62567E05447E98A5AB6729

F295571354ABD1E707E2E39BFB9367280DDAA9221E385C5EA6DAB05327A500CB

2247DE4714949A2ADE55020622B50CE7BDBCF46770EBC0E2D79C861DDE48F9B3

D716394A6C036000448B632C470E311DDA4028BE0836E53FB72E83D7D3F0CFA2

B296A79BFFDC166A27855ED0C1639C64659688108D56C45819D36F81571F0833

https://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details
Công ty TNHH Tin Học Đô Nguyên
134/2B Thành Thái - Phường 12 - Quận 10 - Hồ Chí Minh - Việt Nam

Từ khóa tìm kiếm

Các từ khóa tìm kiếm liên quan đến GhostTeam - mã độc android đánh cắp tài khoản fakebook trên các ứng dụng việt.

Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam. © 2018