Làm gì để người dùng Việt tránh ảnh hưởng từ mã độc Schoolyard Bully?

Mã độc này đã lây lan tới hơn 300.000 nạn nhân trên khắp thế giới, trong đó phần lớn là người dùng Việt, thông qua những ứng dụng được phát triển nhắm tới học sinh. Theo Zimperium có gần 37 ứng dụng chứa Schoolyard Bully Trojan, trong đó có những ứng dụng sử dụng tên gọi tiếng Việt, được đặt tên theo từng môn học, khối lớp và được tìm kiếm nhiều như Cẩm nang Offline - Giải bài tập & Ôn luyện, Giải bài tập offline, Soạn Văn, Giải Hóa học, Mọt truyện...

Tất cả đã bị xóa khỏi Play Store, nhưng vẫn tồn tại trên các kho ứng dụng bên thứ ba. Do đó, số nạn nhân có thể cao hơn 300.000 và tiếp tục tăng. Ví dụ, trên một trang chuyên tải file cài đặt apk, những ứng dụng này được đăng bởi tài khoản có tên tiếng Việt, trong đó có một số ứng dụng thu hút hàng trăm nghìn lượt tải.

Về cơ chế hoạt động, các ứng dụng này vẫn cung cấp đúng thông tin mà người dùng cần, nhưng có một số tính năng yêu cầu đăng nhập tài khoản Facebook để sử dụng. Theo các nhà nghiên cứu, trang đăng nhập cũng hợp pháp, nhưng ứng dụng đã chèn thêm đoạn mã JavaScript để trích xuất thông tin đầu vào.

Khi đó, dữ liệu đăng nhập của người dùng sẽ bị đánh cắp và gửi lên máy chủ của nhà phát triển. Người đứng sau có thể lấy thông tin như số điện thoại, email và mật khẩu đăng nhập Facebook.

Ngoài ra, một số thông tin về thiết bị như tên thiết bị, RAM cũng được gửi đi. Để tránh bị phát hiện, các ứng dụng này thường được viết bằng cách sử dụng thư viện gốc của Android. Các chuỗi dữ liệu đánh cắp cũng được mã hóa trước khi gửi để qua mặt các công cụ bảo mật.

Hiện chưa có thông tin về nhóm đứng sau loạt ứng dụng và mã độc. Năm 2021, mã độc FlyTrap cũng từng được phát hiện nhắm đến người Việt với cách thức hoạt động tương tự khi lợi dụng nhu cầu về các mã giảm giá cho dịch vụ online.

Ảnh chụp màn hình giao diện một số ứng dụng giáo dục chứa Schoolyard Bully Trojan. Ảnh: Zimperium zLabs

Thời gian qua, không ít tài khoản Facebook của người Việt bị đánh cắp và rao bán trên các chợ dữ liệu của hacker. Theo các chuyên gia, những mã độc như FlyTrap, Schoolyard Bully Trojan có thể là một phần nguyên nhân dẫn đến tình trạng đó. Hậu quả có thể còn kéo dài do người dùng có thói quen đặt chung mật khẩu, không đổi mật khẩu định kỳ. Việc sử dụng ứng dụng không rõ nguồn gốc cũng khiến nguy cơ lộ thông tin gia tăng.

Theo chuyên gia bảo mật của công ty NCS, sở dĩ mã độc Schoolyard Bully đã hoạt động từ năm 2018 đến nay mà không bị phát hiện là do các ứng dụng độc hại này thực tế có cung cấp thông tin cho người dùng đúng như những mô tả của phần mềm. Tuy nhiên, hacker đã chèn thêm các đoạn mã script để lấy cắp tài khoản, mật khẩu, sau đó mã hoá và gửi về máy chủ điều khiển nên có thể qua mặt cơ chế kiểm duyệt của Google.

Đối với người dùng Facebook có thể bị ảnh hưởng bởi chiến thuật đánh cắp tài khoản Facebook bằng mã độc Schoolyard Bully, chuyên gia bảo mật khuyến nghị, ngoài việc xóa ngay ứng dụng độc hại có trong danh sách được Zimperium liệt kê, người dùng cũng cần đăng xuất tài khoản Facebook trên tất cả thiết bị và thực hiện đổi mật khẩu tài khoản.

Chuyên gia NCS cũng khuyên người dùng không nên cài đặt các phần mềm từ nhà sản xuất không uy tín, kể cả là các ứng dụng trên Google Play. Ngoài ra, theo các chuyên gia, người dùng cũng nên định kỳ vào phần cài đặt mật khẩu và bảo mật trên Facebook và chọn “Nơi bạn đã đăng nhập” để kiểm tra các thiết bị đã đăng nhập tài khoản Facebook của mình. Trường hợp phát hiện thiết bị lạ, người dùng cần đăng xuất ngay khỏi thiết bị đó và đổi mật khẩu tài khoản Facebook của mình.

Bảo Lâm