Cụ thể, các tin tặc đã tấn công các trang web dễ bị xâm nhập bằng một ngôn ngữ lập trình JavaScript độc hại. Sau đó, khi người dùng truy cập vào bất kỳ các trang web kể trên, một phần mềm độc hại sẽ được phát tán và cài đặt vào iPhone.

Chính vì những lỗ hổng zero-day trên nền tảng iOS mà các hacker có thể dễ dàng khai thác và lợi dụng nó nhằm truy cập các phần nhạy cảm của hệ điều hành này.

Vào tháng 8/2019 và tháng 4/2020, các nhà nghiên cứu của Google và công ty bảo mật Volexity đã lập hồ sơ về INSOMNIA, phần mềm độc hại kể trên cùng với nhóm tin tặc, có tên Earth Empusa, Evil Eye, hoặc PoisonCarp. INSOMNIA có khả năng đánh cắp dữ liệu trên thiết bị bị lây nhiễm từ một loạt các ứng dụng iOS, bao gồm danh bạ, GPS và iMessage, cũng như các dịch vụ của bên thứ ba từ Signal, WhatsApp, Telegram, Gmail và Hangouts.

Không chỉ dừng lại ở iPhone và hệ điều hành iOS mà nhóm tin tặc này còn sử dụng các ứng dụng giả mạo để lây nhiễm phần mềm độc hại sang điện thoại Android. Một số trang web đã bắt chước các cửa hàng ứng dụng của bên thứ ba ở trên Andriod App Store và sau đó tạo ra ứng dụng giả với chủ đề Uyghur.

Một khi ứng dụng trên được cài đặt, điện thoại Android của người dùng sẽ bị lây nhiễm một trong hai chủng phần mềm độc hại, ActionSpy và PluginPhantom.

Cho đến lúc Facebook ngăn chặn thành công ba phần mềm độc hại này, các tin tặc đã nhanh chóng phát tán và lây nhiễm mã độc cho hàng nghìn thiết bị điện thoại trên cả 2 nền tảng iOS và Android trong hơn hai năm. Và kể cả khi hành vi tấn công của chúng bị Facebook vạch trần, nhóm tin tặc vẫn ngang nhiên tiếp tục hoạt động.

Mike Dvilyanski, người đứng đầu cuộc điều tra gián điệp mạng của Facebook và Nathaniel Gleicher, đại diện chính sách bảo mật của công ty đã tuyên bố trong một bài đăng trên mạng xã hội rằng “Trên nền tảng Facebook, hành vi tấn công của các hacker này chủ yếu thông qua việc gửi liên kết đến các trang web độc hại thay vì chia sẻ trực tiếp phần mềm độc hại. Chúng đã hoạt động trong nhiều năm, lâu dài và có nguồn lực tốt, điều đó khiến chúng tôi khó có thể tìm ra được kẻ đứng sau những hành vi trên’’.

Ngoài ra, Facebook cũng nêu tên hai công ty có trụ sở tại Trung Quốc mà họ tin rằng đã phát triển một số phần mềm độc hại trên iOS và Android. Các công ty Trung Quốc này có thể là một phần của mạng lưới rộng lớn các nhà cung cấp cho hành vi tấn công bằng mã độc của nhóm tin tặc, với các hoạt động và mức độ bảo mật khác nhau.

Trước thông báo của Facebook, các quan chức của chính phủ Trung Quốc đã kiên quyết phủ nhận rằng họ không hề tham gia vào chiến dịch tấn công kể trên mà Facebook, Volexity, Google và các tổ chức khác báo cáo.

Phương Anh