Các nhà nghiên cứu an ninh mạng tại ESET (công ty bảo mật có trụ sở chính tại Bratislava, Slovakia) tiết lộ rằng, phần mềm độc hại có tên BlackRock được tạo ra với mục đích đánh cắp thông tin đăng nhập của nạn nhân trên tổng số 458 dịch vụ trực tuyến. Danh sách các ứng dụng được nhắm mục tiêu bao gồm tất cả các loại ứng dụng tài chính, mua sắm và trao đổi tiền điện tử, cũng như các nền tảng nhắn tin và truyền thông xã hội (Twitter, Whatapp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA, Lloyds Bank…).

BlackRook sử dụng cách thức tấn công lớp phủ (overlay attack) để thực hiện đánh cắp thông tin đăng nhập của nạn nhân bất cứ khi nào một trong những ứng dụng bị nhắm mục tiêu được khởi chạy. Khi đó, chúng tạo ra một cửa sổ giả hiện lên trên một ứng dụng hợp pháp, “lớp phủ” này kết hợp với ứng dụng nền khiến người dùng khó nhận biết pop-up xuất hiện có phải là một phần của ứng dụng đó hay không. Cửa sổ này sẽ nhắc người dùng điền thông tin đăng nhập và số thẻ tín dụng để có thể bắt đầu dùng ứng dụng hợp pháp. Đây là một kỹ thuật phổ biến cho phép tin tặc có quyền truy cập vào thông tin đăng nhập của người dùng.

Mối quan tâm chính ở đây là phần mềm độc hại cũng có thể chặn tin nhắn văn bản kể cả khi người dùng có đang sử dụng xác thực hai yếu tố dựa trên SMS. Sau đó, ứng dụng độc hại yêu cầu nạn nhân kích hoạt các dịch vụ trợ năng để cho phép chúng có thể kiểm soát trực tiếp thiết bị.

Chuyên gia Lukas Stefanko của ESET cho biết, tin tặc đã tạo ra một bản sao được làm giống như web Clubhouse chính thức và chỉ có một vài điểm nhỏ khác biệt. Nếu người dùng tải xuống ứng dụng từ một trang web hợp pháp, ứng dụng đó sẽ luôn chuyển hướng người dùng đến Google Play thay vì tải xuống trực tiếp. Phiên bản giả mạo sẽ tự động tải xuống ứng dụng trên thiết bị của người dùng ngay sau khi họ nhấp vào “tải xuống trên Google Play”.

Một điểm khác biệt chính cần lưu ý là khi sử dụng các trang web giả mạo, có dấu hiệu cho thấy kết nối không an toàn (HTTP thay vì HTTPS) hoặc trang web đang sử dụng tên miền cấp cao “.mobi” (TLD) thay vì “.com.”.

Trang web giả mạo (trái) và trang web hợp pháp (phải)

Trên thực tế là Clubhouse thực sự đang có kế hoạch tung ra phiên bản Android cho ứng dụng của mình, nhưng hiện tại ứng dụng này hiện chỉ có sẵn cho người dùng iOS.

Để tránh trở thành nạn nhân của các cuộc tấn công tương tự bởi phần mềm độc hại Trojan, có một số lưu ý mà người dùng có thể làm theo:

- Chỉ sử dụng các cửa hàng chính thức để tải ứng dụng xuống thiết bị của mình. Cảnh giác với các quyền cấp cho ứng dụng.

- Người dùng nên cập nhật thiết bị của mình bằng cách cài đặt tự động cập nhật bản vá. Nếu có thể, nên sử dụng trình tạo mật khẩu một lần (OTP) dựa trên phần mềm hoặc mã thông báo phần cứng thay vì SMS.

- Thực hiện một số tìm hiểu về nhà phát triển và xếp hạng của ứng dụng cũng như đánh giá của người dùng trước khi cài đặt ứng dụng.