Công ty bảo mật Trend Micro đã phát hiện 53 ứng dụng trên Google Play có thể đánh cắp tài khoản Facebook và lén lút đẩy quảng cáo trên thiết bị của người dùng. Nhiều phần mềm trong đó được xuất bản vào tháng 4/2017 và dường như được đưa lên theo từng đợt.
Mã độc ẩn giấu dưới các ứng dụng trên có tên GhostTeam và đáng chú ý là nó có nguồn gốc từ Việt Nam, bao gồm cả ngôn ngữ tiếng Việt trong phần mô tả. Trong khi đó máy chủ điều khiển (C&C) có địa chỉ mspace.com.vn, là một tên miền tiếng Việt.
Từ những “dấu vết” trên, Trend Micro cho rằng những ứng dụng độc hại này đến từ Việt Nam. Chẳng hạn, cấu hình GhostTeam sử dụng cả tiếng Anh và tiếng Việt. Song Tiếng Anh sẽ là ngôn ngữ mặc định nếu phần mềm phát hiện thiết bị đang được sử dụng ở ngoài Việt Nam.
Phần mềm độc hại ẩn giấu dưới các chương trình tiện ích như đèn flash, quét mã QR, la bàn hay phần mềm cải thiện hiệu suất chẳng hạn truyền tập tin, dọn dẹp máy và đáng chú ý hơn là ứng dụng tải video từ mạng xã hội. Ấn Độ, Indonesia, Brazil, Việt Nam và Philippines, những nước có nhiều người dùng Facebook, cũng có số người bị ảnh hưởng bởi GhostTeam nhiều nhất.
Khác với nhiều mã độc khác, GhostTeam đánh cắp thông tin Facebook từ trang đăng nhập thật, thay vì dựng lên trang đăng nhập giả. Tuy nhiên, nó gắn thêm mã JavaScript độc hại nhằm thu thập tài khoản và mật khẩu của người dùng. Dữ liệu này sau đó được chuyển đến máy chủ từ xa của kẻ tấn công.
Vì quá trình nhập tài khoản và mật khẩu diễn ra trên trang đăng nhập thực của Facebook, thông qua một thành phần hợp pháp của Android, nên các ứng dụng bảo mật trên di động không phát hiện ra hình thức thu thập dữ liệu kiểu này. Ngoài ra GhostTeam còn đẩy về các nội dung quảng cáo trên thiết bị người dùng.
Hiện 53 ứng dụng chứa mã độc trên đã bị gỡ khỏi Google Play. Tuy nhiên, người dùng từng cài bất kỳ phần mềm nào tương tự cần thay đổi mật khẩu và các thông tin quan trọng trên Facebook ngay lập tức. Việc kích hoạt xác thực hai yếu tố cũng giúp bảo vệ tài khoản tốt hơn.