Ảnh minh họa. Cnews

Các nền tảng giả mạo lừa đảo cài mã độc trojan Android

Các nhà phân tích thuộc Bộ phận Bảo vệ rủi ro số (Digital Risk Protection) của Công ty an ninh mạng F6 phát hiện đã các trang web độc hại giả mạo thương hiệu của các nền tảng video phổ biến YouTube và TikTok, hiện đang khó truy cập từ Nga. Người dùng được dụ dỗ tải xuống các trojan Android dưới vỏ bọc “phiên bản mở rộng” của những ứng dụng này.

Các phần mềm độc hại được quảng bá với tên gọi như: TikTok 18+, YouTube Max, YouTube Boost, YouTube Mega, YouTube Ultra, YouTube Plus, YouTube Ultima Edition, YouTube Pro, YouTube Advanced, YouTube+.

Các tên miền phát tán phần mềm độc hại được đăng ký trong các vùng .RU, .TOP, .PRO, .FUN, .LIFE, .LIVE, .ICU, .COM và .CC, thường đi kèm từ “ultra”, “mega”, “boost”, “plus”, “max”. Những trang này được lập chỉ mục trên các công cụ tìm kiếm tại Nga.

“Lần đầu tiên chúng tôi phát hiện các trang web kiểu này là vào mùa hè 2025. Vào mùa thu, sau khi năm học bắt đầu, diễn ra một làn sóng đăng ký tên miền mới để phát tán ứng dụng độc hại,” – ông Alexander Sapov, chuyên gia phân tích cao cấp của Bộ phận ứng phó tìn trạng khẩn cấp (CERT) thuộc F6, cho biết.

Thủ đoạn lừa đảo và khả năng nguy hiểm của trojan

Mỗi trang web lừa đảo hiển thị quảng cáo về ứng dụng, hứa hẹn người dùng có thể xem video miễn phí ngay cả khi kết nối yếu, truy cập nội dung bị chặn, tải video chất lượng 4K để xem offline, hoặc nghe nhạc ở chế độ nền. Để có các tính năng này, người dùng được yêu cầu tải xuống APK từ trang web.

Tuy nhiên, thay vì ứng dụng hợp pháp, thiết bị sẽ bị cài trojan Android. Phiên bản độc hại giả mạo YouTube và TikTok cho phép tin tặc:

- Đọc và gửi tin nhắn, thực hiện cuộc gọi, thu thập thông tin liên hệ và các ứng dụng đã cài.

- Truy cập dữ liệu mạng, tự động khởi chạy khi bật máy.

- Hiển thị giao diện chồng lên các cửa sổ khác để thực hiện lừa đảo đánh cắp tài khoản ngân hàng.

Những quyền hạn này cho phép kẻ tấn công giám sát hoạt động trên thiết bị, thu thập dữ liệu một cách bí mật và thực hiện hành động mạo danh người dùng.

Ngoài YouTube và TikTok, các trojan còn được ngụy trang dưới dạng ứng dụng bản đồ, điều hướng, tra cứu phạt giao thông và thanh toán vi phạm.

Từ đầu tháng 10/2025, F6 phát hiện hơn 30 tên miền được dùng để phát tán Android-trojan và tất cả đã bị chặn. Tuy nhiên, nguy cơ các tên miền mới xuất hiện vẫn hiện hữu.

"Việc YouTube bị chậm lại và việc hạn chế quyền truy cập vào các video TikTok mới tại Nga đã dẫn đến nhiều đề xuất nhằm lách luật. Tình trạng này chắc chắn đã bị những kẻ tấn công lợi dụng để ngụy trang các ứng dụng độc hại thành nhiều chương trình phổ biến khác nhau."  Ông Alexander Bondal, chuyên gia phân tích cao cấp thuộc CERT F6, nhận định.

Khuyến cáo bảo vệ thiết bị Android

Các chuyên gia F6 đưa ra những hướng dẫn bảo vệ người dùng: không nhấp vào liên kết từ các nguồn lạ; chỉ tải ứng dụng từ các trang chính thức như kho ứng dụng, và chỉ khi thực sự cần thiết; theo dõi quyền hạn ứng dụng: cấp quyền theo nguyên tắc “cần thiết và đủ”.

Ví dụ, ứng dụng đặt pizza yêu cầu quyền đọc danh bạ hoặc gửi SMS là dấu hiệu nguy hiểm.

Nếu nghi ngờ dữ liệu tài chính bị xâm phạm, ngay lập tức liên hệ ngân hàng để khóa thẻ hoặc qua ứng dụng ngân hàng.

Khi phát hiện trang web đáng ngờ, gửi liên kết hoặc thông tin lên nền tảng “Anti-Phishing” để F6 kiểm tra và chuyển cho cơ quan quản lý thực hiện biện pháp ngăn chặn.

An Lâm (Theo Cnews)