-
09/04/2020
-
110
-
1.015 bài viết
Hàng triệu người dùng vẫn bị lừa bởi ứng dụng giả mạo trên App Store và Google Play?
Một chiến dịch lừa đảo tinh vi với quy mô toàn cầu vừa được các chuyên gia an ninh mạng phanh phui, trong đó nhóm tội phạm mạng VexTrio Viper đã phát triển hàng loạt ứng dụng giả mạo và phát hành công khai trên Apple App Store và Google Play Store. Những ứng dụng này ẩn mình dưới lớp vỏ “tiện ích” như VPN, chặn quảng cáo, dọn RAM, ứng dụng hẹn hò hoặc theo dõi thiết bị nhưng thực chất là công cụ để thu thập dữ liệu cá nhân, ép người dùng trả phí và phát tán quảng cáo độc hại.
Theo báo cáo từ công ty an ninh mạng Infoblox, các ứng dụng độc hại này được phát triển dưới nhiều tên nhà phát triển khác nhau như HolaCode, LocoMind, Hugmi, Klover Group và AlphaScale Media. Chúng đã được tải xuống hàng triệu lần, cho thấy quy mô lan rộng và mức độ ảnh hưởng nghiêm trọng.
Sau khi được cài đặt, các ứng dụng này nhanh chóng đánh lừa người dùng đăng ký các gói dịch vụ có tính phí tự động, khó hủy và thường không minh bạch về giá. Một số ứng dụng như Spam Shield block còn thu phí hàng tuần mà không thông báo rõ ràng, khiến người dùng phải trả tới hàng trăm đô la mỗi năm chỉ vì một tiện ích không hoạt động đúng chức năng.
Nguy hiểm hơn, các ứng dụng này còn thu thập thông tin cá nhân như email, số điện thoại và địa chỉ để phục vụ cho các chiến dịch lừa đảo khác hoặc bán lại cho các bên thứ ba. Dù bị ngụy trang rất khéo léo, một số đánh giá tiêu cực trên kho ứng dụng cho thấy người dùng đã nhận ra điểm bất thường nhưng lúc đó đã là quá muộn.
Đứng sau vụ việc này, VexTrio Viper bị réo tên, đây là một nhóm tội phạm mạng quốc tế hoạt động từ năm 2015. Nhóm này điều hành mạng lưới shell company (vỏ bọc doanh nghiệp) và các nền tảng quảng cáo trá hình như Los Pollos và Adtrafico. Chúng kiểm soát cả nguồn phát và kênh phân phối quảng cáo, điều hướng người dùng đến các trang web độc hại thông qua hệ thống TDS - Traffic Distribution System và các smartlink ẩn danh, gây khó khăn cho việc điều tra và ngăn chặn.
Đáng chú ý, chiến dịch này không sử dụng các kỹ thuật tấn công truyền thống như phát tán mã độc mà chủ yếu dựa vào kỹ nghệ lừa đảo xã hội (social engineering), nghĩa là lợi dụng sự thiếu cảnh giác và lòng tin vào các nền tảng chính thống như Google Play hay App Store để dụ người dùng cài đặt.
Nhóm VexTrio cũng bị phát hiện sử dụng các tên miền giả mạo như “sendgrid[.]rest” và “mailgun[.]fun” để gửi email rác tới hàng triệu người dùng, mở rộng phạm vi lừa đảo đến quy mô toàn cầu.
Theo báo cáo từ công ty an ninh mạng Infoblox, các ứng dụng độc hại này được phát triển dưới nhiều tên nhà phát triển khác nhau như HolaCode, LocoMind, Hugmi, Klover Group và AlphaScale Media. Chúng đã được tải xuống hàng triệu lần, cho thấy quy mô lan rộng và mức độ ảnh hưởng nghiêm trọng.
Sau khi được cài đặt, các ứng dụng này nhanh chóng đánh lừa người dùng đăng ký các gói dịch vụ có tính phí tự động, khó hủy và thường không minh bạch về giá. Một số ứng dụng như Spam Shield block còn thu phí hàng tuần mà không thông báo rõ ràng, khiến người dùng phải trả tới hàng trăm đô la mỗi năm chỉ vì một tiện ích không hoạt động đúng chức năng.
Nguy hiểm hơn, các ứng dụng này còn thu thập thông tin cá nhân như email, số điện thoại và địa chỉ để phục vụ cho các chiến dịch lừa đảo khác hoặc bán lại cho các bên thứ ba. Dù bị ngụy trang rất khéo léo, một số đánh giá tiêu cực trên kho ứng dụng cho thấy người dùng đã nhận ra điểm bất thường nhưng lúc đó đã là quá muộn.
Đứng sau vụ việc này, VexTrio Viper bị réo tên, đây là một nhóm tội phạm mạng quốc tế hoạt động từ năm 2015. Nhóm này điều hành mạng lưới shell company (vỏ bọc doanh nghiệp) và các nền tảng quảng cáo trá hình như Los Pollos và Adtrafico. Chúng kiểm soát cả nguồn phát và kênh phân phối quảng cáo, điều hướng người dùng đến các trang web độc hại thông qua hệ thống TDS - Traffic Distribution System và các smartlink ẩn danh, gây khó khăn cho việc điều tra và ngăn chặn.
Đáng chú ý, chiến dịch này không sử dụng các kỹ thuật tấn công truyền thống như phát tán mã độc mà chủ yếu dựa vào kỹ nghệ lừa đảo xã hội (social engineering), nghĩa là lợi dụng sự thiếu cảnh giác và lòng tin vào các nền tảng chính thống như Google Play hay App Store để dụ người dùng cài đặt.
Nhóm VexTrio cũng bị phát hiện sử dụng các tên miền giả mạo như “sendgrid[.]rest” và “mailgun[.]fun” để gửi email rác tới hàng triệu người dùng, mở rộng phạm vi lừa đảo đến quy mô toàn cầu.
Tạm kết
Vụ việc này cho thấy chỉ một vài thao tác cài đặt tưởng như vô hại cũng có thể dẫn đến rủi ro tài chính và mất thông tin cá nhân. Người dùng cần thận trọng hơn bao giờ hết, kiểm tra kỹ nguồn ứng dụng, nhà phát triển, đánh giá từ người dùng khác và tuyệt đối không bỏ qua các dấu hiệu bất thường. Sự cảnh giác và hiểu biết của bạn chính là lớp bảo vệ đầu tiên trước những thủ đoạn ngày càng tinh vi trên môi trường số.Theo The Hacker News