Hàng trăm nghìn thông tin cá nhân bị mã độc Android.Exprespam lấy cắp

(ICTPress) - Mã độc  Android.Exprespam được phát hiện vào đầu tháng 1/2013 và chỉ mới hoạt động vài tuần trở lại đây. Tuy nhiên, những kẻ lừa đảo mạng dường như đã gặt hái được khá nhiều thành công với loại mã độc mới này.

Symantec đã thu được một số thông tin cho phép chúng ta hình dung ra làm cách nào mà mã độc Exprespam lừa phỉnh những người dùng Android cung cấp thông tin cá nhân của họ. Dữ liệu thu được - dù chỉ là một phần nổi của tảng băng, cũng đã cho thấy thị trường ảo với tên gọi Android Express’s Play đã thu hút được tới hơn 3.000 lượt viếng thăm chỉ trong 1 tuần, từ ngày 13 tới ngày 20/1.

Lượng dữ liệu có thể đã bị lấy cắp

Dựa trên nhiều nguồn khác nhau, Symantec dự tính những kẻ lừa đảo đã lấy cắp được lượng thông tin cá nhân nằm trong khoảng từ 75.000 tới 450.000 thông tin cá nhân từ người dùng.

Để ước tính số lượng thông tin cá nhân đã bị lấy cắp, Symantec đã tính toán kết hợp giữa lượng truy nhập vào dịch vụ Google Play với lượng truy nhập vào thị trường ảo nguyên thủy của Exprespam và thị trường ảo mới. Ước đoán số lượng truy nhập vào dịch vụ Google Play là 2.000 - bởi vì trang web này vẫn duy trì hoạt động trong số ngày tương ứng với dịch vụ Android Express’s Play. Sau đó, Symantec tính số lượng các liên lạc trung bình trong mỗi thiết bị bị lây nhiễm bằng cách lấy tổng số liên lạc bị lấy cắp bởi mã độc Android.Dougalek (hay còn gọi là mã độc Movie) và mã độc Android.Ackposts, chia cho số lượng các thiết bị bị lây nhiễm (theo báo cáo từ các phương tiện truyền thông, Dougalek lấy trộm khoảng 11,8 triệu thông tin cá nhân từ 90.000 thiết bị và  Ackposts lấy cắp 4 triệu thông tin cá nhân từ 18.000 thiết bị). Con số này tương đương với 150 thông tin cá nhân trên mỗi thiết bị.

Để đạt được ước tính tối thiểu, Symantec giả định rằng chỉ có một số lượng nhỏ (một trong mười người truy cập) có thể thật sự đã tải về và cài đặt ứng dụng độc hại. Kết quả là có khoảng 500 trường hợp bị lây nhiễm.

Ngược lại, nếu cho rằng số lượng thực tế người dùng đã tải về và cài đặt ứng dụng sau khi truy nhập trang web là khoảng 3.000, thì chúng ta sẽ đi đến một con số lớn hơn nhiều. Lưu ý rằng đây không phải là số lượng các địa chỉ liên lạc duy nhất bị đánh cắp. Hơn nữa, những con số này chỉ là ước tính để mang lại sự hiểu biết tốt hơn về quy mô của mã độc này. Như đã đề cập ở trên, dữ liệu thu thập được chỉ là bề nổi của tảng băng, do vậy, con số thực tế có thể còn nhiều hơn so với dự đoán của Symantec.

Chiêu thức lừa đảo mới này mới chỉ hoành hành trong thời gian khoảng 2 tuần, do vậy, Symantec chắc chắn đây mới chỉ là điểm bắt đầu của những kẻ lừa đảo và những dữ liệu cá nhân mà hacker lấy được sẽ có nguy cơ bị phát tán rộng rãi.

Để minh chứng rõ hơn cho vấn đề này, Symantec đã tìm thấy một tên miền khác được đăng ký bởi những kẻ đã tạo ra mã độc Exprespam và chúng cũng đã tạo ra một phiên bản thị trường ảo khác trên tên miền mới này. Lần này, tội phạm mạng đã quyết định không đặt tên cho thị trường này hay cung cấp tên của đơn vị thực hiện duy trì thị trường. Hiện tại, thị trường mới không có vẻ gì là đang hoạt động và có thể đang được xây dựng hoặc đang trong thời gian chờ đợi. Tuy nhiên, điều đó không thể hiện những kẻ lừa đảo đang ngừng lại bởi vì một biến thể mã độc mới hiện đang được lưu trữ trên trang này.

Thông tin về Exprespam trên blog của Symantec cảnh báo, những kẻ lừa đảo liên tục thay đổi chiến thuật để khiến trò lừa phỉnh của chúng mang lại “thành quả”. Những thay đổi này sẽ không bao giờ ngừng lại, chỉ khi những kẻ lừa đảo bị các nhà chức trách bắt giữ và trừng phạt hoặc ngăn chặn - đây là điều khó có thể xảy ra trong ngày một ngày hai. Cho tới nay, hy vọng rằng những người dùng đầu cuối nắm bắt được thông tin về loại mã độc mới để tránh download và cài đặt nó.

Người dùng Android sẽ vẫn an toàn nếu họ tránh nhấp chuột vào những đường liên kết trong các email không rõ nguồn gốc và download những ứng dụng từ các nhà cung cấp ứng dụng có tiếng, đáng tin cậy, hay cài đặt phần mềm bảo mật trên thiết bị của họ (chẳng hạn như Norton Mobile Security hoặc Symantec Mobile Security).

Mạnh Vỹ