Một ứng dụng theo dõi virus corona là ransomware có nguy cơ rò rỉ tài khoản mạng xã hội và xóa bộ nhớ điện thoại

Minh Đức (Theo Business Insider)

Không có gì đáng ngạc nhiên, mọi người đang chuyển sang internet để có được thông tin cập nhật từng phút về sự bùng phát của virus corona, nhưng cơn khát thông tin trong bối cảnh đại dịch là một cơ hội hoàn hảo cho tin tặc.

Đây cũng là thời điểm tốt để nhắc nhở mọi người rằng tin tặc vẫn đang làm việc chăm chỉ.

Một ứng dụng có tên “COVID19 Tracker” che giấu bản thân như một công cụ theo dõi bản đồ ổ dịch virus corona thực sự là một phần mềm ransomware khóa điện thoại của bạn và yêu cầu bạn trả cho hacker 100 đô la bitcoin trong vòng 48 giờ, theo Chad Anderson và Tarik Saleh tại công ty bảo mật internet DomainTools .

Báo cáo của Saleh cho thấy ứng dụng này được thiết kế cho hệ điều hành Android và được liệt kê cho người dùng Android đang tìm kiếm các ứng dụng theo dõi virus corona.

Để tải xuống ứng dụng, người dùng sẽ phải truy cập trực tiếp vào trang web nơi ứng dụng được lưu trữ và tải xuống ứng dụng từ đó. Ứng dụng này không có sẵn trên Google Play Store.

Trang web dường như đã bị gỡ xuống vào chiều thứ Hai. Trang web nhắc khách truy cập tải xuống một ứng dụng, nói rằng “đối với người dùng Android: để có được số trường hợp virus corona theo thời gian thực dựa trên vị trí GPS của bạn, vui lòng tải xuống phiên bản ứng dụng di động của trang web và bật ‘báo cáo chính xác’ để có trải nghiệm tốt nhất.”

Sau khi mở, ứng dụng sẽ yêu cầu quyền truy cập vào màn hình khóa của bạn để cung cấp cho bạn “cảnh báo tức thì khi có bệnh nhân virus corona ở gần bạn”.

Ứng dụng cũng yêu cầu cấp phép cài đặt khả năng truy cập của điện thoại Android để “giám sát trạng thái hoạt động”.

Nếu người dùng không nghi ngờ và cấp các quyền này cho ứng dụng, phần mềm ransomware có tên là “CovidLock” được bật và màn hình sẽ thay đổi thành ghi chú tiền chuộc, được hiển thị bên dưới:

“Điện thoại của bạn được mã hóa: Bạn có 48 giờ để trả 100 đô la [sic] bằng bitcoin hoặc mọi thứ sẽ bị xóa.”

  1. Điều gì sẽ bị xóa? danh bạ, hình ảnh và video của bạn, tất cả các tài khoản mạng xã hội sẽ bị rò rỉ công khai và bộ nhớ điện thoại sẽ bị xóa hoàn toàn
  2. Làm thế nào để cứu vãn? bạn cần một mã giải, mã sẽ vô hiệu hóa ứng dụng và mở khóa dữ liệu của bạn như trước đây
  3. Làm thế nào để có được mã giải mã? bạn cần gửi 100 đô la [sic] bằng bitcoin đến địa chỉ [sic] bên dưới, nhấp vào nút bên dưới để xem mã

Lưu ý: GPS của bạn được xem và vị trí của bạn được biết, nếu bạn thử bất cứ điều gì ngu ngốc, điện thoại của bạn sẽ tự động bị xóa ”

Ở cuối ghi chú là trường văn bản nơi nạn nhân nhập mã giải và một nút bên dưới trường văn bản có nội dung “Giải mã”.

Saleh lưu ý rằng các biện pháp bảo vệ chống lại kiểu tấn công này trong hệ điều hành Android đã được áp dụng kể từ khi Android 7 “Nougat” được phát hành vào năm 2016, miễn là người dùng đã đặt mật khẩu để mở khóa điện thoại.

Không có mật khẩu mở khóa, người dùng vẫn dễ bị tấn công như ransomware CovidLock.

Saleh cho biết, nhóm nghiên cứu bảo mật DomainTools đã thiết kế ngược khóa giải mã và đã phát hành công khai để nạn nhân có thể mở khóa thiết bị của họ mà không phải trả tiền chuộc.

Khi được hỏi liệu tin tặc có thể tạo khóa giải mã mới hay không, DomainTools nói với Business Insider rằng tin tặc sẽ cần phải viết lại phần mềm độc hại và triển khai lại, và một khóa mới sẽ không ảnh hưởng đến bất kỳ ai đã tải xuống ứng dụng bị nhiễm.

“Đó là một trong những lỗ hổng lớn của CovidLock,” DomainTools nói.

Công ty cũng đang theo dõi ví bitcoin của tin tặc và hoạt động của nó, và DomainTools cho biết chưa có ai trả tiền chuộc cho tin tặc, nhưng công ty không chắc chắn có bao nhiêu người đã tải xuống ứng dụng.

DomainTools khuyên mọi người nên lấy thông tin về COVID-19 từ các nguồn đáng tin cậy như từ chính phủ và các tổ chức nghiên cứu.

Nó cũng gợi ý rằng mọi người không mở email hoặc nhấp vào liên kết có nội dung liên quan đến sức khỏe, vì những hành vi sai trái đang “cố gắng tận dụng nỗi sợ hãi”.

Và cuối cùng,  khuyên người dùng Android nên tải xuống ứng dụng một cách toàn diện từ Cửa hàng Google Play, nơi có ít rủi ro tải xuống phần mềm độc hại.

Đây không phải là trường hợp đầu tiên của các ứng dụng phần mềm độc hại tự che giấu mình là các ứng dụng theo dõi liên quan đến virus corona.

Tuần trước, các nhà nghiên cứu an ninh mạng đã xác định một số bản đồ theo dõi COVID-19 giả mạo lây nhiễm máy tính của mọi người bằng phần mềm độc hại khi mở.