Ảnh minh họa. Nguồn Bitdefender

Quảng cáo độc hại mở rộng từ Meta tới Google Ads và YouTube

Theo phát hiện của các nhà nghiên cứu của Bitdefender, nhóm tin tặc thực hiện malvertising đã xâm nhập tài khoản Facebook Business của một công ty thiết kế ở Na Uy, rồi dùng chính tài khoản đó để chạy ít nhất 75 quảng cáo mồi nhử hứa “TradingView Premium miễn phí”. Những quảng cáo này trông rất “chính thống”, vì được phát từ tài khoản doanh nghiệp hợp pháp, nhắm mục tiêu trực tiếp tới người dùng Android.

Khi đã khởi động thành công trên Meta, nhóm tin tặc malvertising mở rộng phạm vi sang Google Ads và YouTube để phát tán mã độc. Nhóm hackers không chỉ đăng video công khai mà còn đăng tải ở chế độ unlisted (không công khai) để tránh kiểm duyệt, nhưng video vẫn có thể được phát tán qua quảng cáo hoặc liên kết chia sẻ.

Nhóm tin tặc đã chiếm một kênh YouTube hợp pháp, đổi tên gần giống TradingView thật, đăng các video quảng cáo kèm liên kết tải về. Có video đã đạt hơn 180.000 lượt xem chỉ trong vài ngày, cho thấy sự lan tỏa mạnh mẽ của chiến dịch phát tán mã độc.

Hậu quả khi bị lây nhiễm Brokewell, downloader

Ứng dụng giả mạo được quảng cáo ban đầu trên Meta chứa Brokewell, một trojan Android với khả năng đa dạng và nguy hiểm. Mã độc có thể ghi lại thao tác người dùng trên điện thoại, đồng thời chèn lớp phủ để đánh cắp thông tin đăng nhập. Brokewell còn có thể chiếm cookie phiên, lấy nhật ký cuộc gọi, vị trí địa lý, ghi âm cuộc thoại và thu thập các dữ liệu nhạy cảm khác. Trong các biến thể mới, mã độc hoạt động như một Remote Access Trojan (RAT), cho phép tin tặc điều khiển thiết bị từ xa.

Khi triển khai trên Google Ads và YouTube, nhóm tin tặc không chỉ phát tán Brokewell mà còn phân phối một trình tải xuống (downloader) tùy chỉnh. Downloader tiếp tục cài đặt Trojan.Agent.GOSL, còn được gọi là JSCEAL hoặc WeevilProxy.

 Đây là loại mã độc có khả năng tạo cửa hậu (backdoor), chiếm quyền điều khiển và đánh cắp dữ liệu, đồng thời lây nhiễm sang những thiết bị khác khi trao đổi các file dữ liệu. Sự kết hợp giữa quảng cáo tưởng chừng hợp pháp và video hướng dẫn khiến người dùng cảnh giác và trở thành nạn nhân.

Theo Bitdefender, người dùng Android không nên nhấp vào quảng cáo hoặc video hứa hẹn phiên bản “premium miễn phí” của các ứng dụng trả phí mà chỉ cài đặt trực tiếp từ Google Play hoặc App Store. Không cài đặt các tệp ứng dụng Android từ liên kết trong quảng cáo hay video lạ, đồng thời kiểm tra kỹ thông tin nhà phát hành.

Luôn cập nhật hệ điều hành và ứng dụng, sử dụng phần mềm bảo mật uy tín. Nếu nghi ngờ thiết bị đã nhiễm độc, nên tắt kết nối mạng, quét toàn bộ hệ thống và liên hệ các dịch vụ công nghệ liên quan để kịp thời xử lý.

An Lâm (Theo Bitdefender; TechRadar)