Ứng dụng Craftsart Cartoon Photo Tools trên Play Store đánh cắp thông tin đăng nhập của người dùng

13:53 | 24/03/2022

Craftsart Cartoon Photo Tools là một ứng dụng phổ biến trên Play Store với hơn 100.000 lượt cài đặt. Đây là một phần mềm gián điệp có khả năng đánh cắp thông tin đăng nhập các tài khoản mạng xã hội của người dùng. Ứng dụng này đã bị chèn một phiên bản của phần mềm độc hại Facestealer dành cho hệ điều hành Android.

Theo các nhà nghiên cứu tại Pradeo (Pháp), ứng dụng này hoạt động bình thường như những công cụ chỉnh sửa ảnh khác, cho phép người dùng chuyển đổi một bức ảnh thông thường sang một bức ảnh với phong cách hoạt hình hoặc hội họa. Tuy nhiên, nó chứa các đoạn mã độc hại dễ dàng bị phát hiện bởi các công cụ bảo mật.

Facestealer là một phần mềm độc hại Android khá phổ biến, đã tồn tại trong Google Play trước đó thông qua các ứng dụng hợp pháp có kèm mã độc. Theo phân tích của các nhà nghiên cứu Malwarebytes (Mỹ), khi ứng dụng lần đầu tiên được khởi chạy, nó sẽ chuyển hướng người dùng đến trang đăng nhập Facebook hợp pháp và yêu cầu người dùng đăng nhập trước khi sử dụng. Sau đó, JavaScript độc hại được chèn vào có nhiệm vụ đánh cắp thông tin đăng nhập và gửi đến máy chủ C2.

Qua đó, tin tặc có thể đánh cắp thông tin về tài khoản mạng xã hội như địa chỉ email, địa chỉ IP, số điện thoại, lịch sử trò chuyện và nhắn tin, chi tiết thẻ tín dụng, danh sách bạn bè...

Các nhà nghiên cứu cho biết, khi thông tin đăng nhập của một tài khoản mạng xã hội bị đánh cắp có thể gây ra hậu quả nghiêm trọng. Qua đó, cho phép tin tặc thu thập nhiều thông tin về tài khoản. Thông tin đăng nhập Facebook được tội phạm mạng sử dụng để tiến hành nhiều hoạt động độc hại, phổ biến nhất là gian lận tài chính, gửi các liên kết và phát tán tin tức giả mạo.

Qua phân tích, Craftsart Cartoon Photo Tools tạo kết nối với tên miền được đăng ký bởi người Nga, đã được sử dụng ít nhất 7 năm qua để làm địa chỉ lệnh và kiểm soát (C2) cho các ứng dụng Android độc hại khác nhau. Tên miền này được kết nối với nhiều ứng dụng di động độc hại đã từng tồn tại trên Play Store. Để duy trì sự hiện diện trên Google Play, việc đóng gói lại các ứng dụng dành cho thiết bị di động là phương pháp phổ biến của tội phạm mạng. Có nhiều trường hợp việc đóng gói ứng dụng lại các ứng dụng được thực hiện một cách tự động.

Các nhà nghiên cứu của Pradeo đã thông báo cho nhóm Google Play về ứng dụng này. Nhưng hiện tại, ứng dụng vẫn hoạt động trên kho ứng dụng chính thức. Vì vậy, người dùng nên gỡ bỏ ứng dụng ra khỏi điện thoại của mình và hạn chế tải về những ứng dụng lạ, chú ý đến điểm xếp hạng và các bình luận đánh giá của những người dùng khác trên kho ứng dụng.