Theo Zimperium (Mỹ) - hãng bảo mật di động phát hiện ra GriftHorse, trojan này không hoạt động dựa trên chiến thuật triển khai lây nhiễm thông thường, như lừa tải phần mềm độc hại hoặc đính kèm liên kết chứa mã độc. Thay vào đó, hacker tạo ra các ứng dụng riêng và tải lên Google Play Store một cách hợp pháp.
Zimperium cho biết, có hơn 200 ứng dụng được tải lên cửa hàng Google trong chiến dịch lây lan GriftHorse từ tháng 11/2020 tới tháng 9 năm nay, nhưng không bị hệ thống kiểm duyệt của nền tảng này phát hiện. Lượng phần mềm trải dài trên nhiều danh mục khác nhau, giúp hacker nhắm mục tiêu đến nhiều nhóm người dùng.
Phương thức hoạt động của GriftHorse khá đơn giản. Sau khi tải về ứng dụng độc hại, người dùng sẽ liên tục nhận được thông báo trúng thưởng, với tần suất nhiều nhất là năm lần mỗi giờ. Hầu hết chỉ yêu cầu nhập số điện thoại.
Tuy nhiên, nếu nạn nhân làm theo, thiết bị của họ lập tức tự động đăng ký một dịch vụ SMS với mức phí 40 USD (hơn 900.000 đồng) mỗi tháng. "Các thông báo được gửi với ngôn ngữ tùy theo quốc gia, nên tỷ lệ thành công của tội phạm mạng cũng cao hơn", đại diện Zimperium nói.
Theo Zimperium, hơn 10 triệu smartphone Android bị lây nhiễm GriftHorse. Số tiền mà hacker kiếm được từ mỗi ứng dụng thấp nhất 10 USD và cao nhất là 1 triệu USD. Với 200 ứng dụng độc hại, các chuyên gia ước tính hacker có thể đã thu về hàng trăm triệu USD trong suốt thời gian hoạt động.
Nhóm bảo mật Zimperium khuyến cáo, người dùng nên thận trọng với các phần mềm yêu cầu nhập thông tin cá nhân hay số điện thoại, tránh xa ứng dụng từ các nhà phát triển không xác định, chú ý đọc các đánh giá trên kho ứng dụng trước khi tải về, và thận trọng với phần mềm đòi hỏi quá nhiều quyền.
Sau khi phát hiện, Zimperium đã thông báo cho Google và các ứng dụng chứa GriftHorse đã bị loại bỏ khỏi Play Store. Tuy nhiên, trojan này có thể đang có mặt trên các ứng dụng của cửa hàng bên thứ ba, nên người dùng cần tránh tải các phần mềm từ không rõ nguồn gốc.
Bảo Lâm (theo Makeuseof)