Một băng nhóm tội phạm đã lợi dụng lỗ hổng trong ứng dụng Chrome cho iOS để tấn công người dùng bằng các cửa sổ pop-up và quảng cáo giả mạo, lừa họ truy cập vào website để đánh cắp tài khoản và tiền bạc.

Quảng cáo pop-up giả mạo có tên miền .World

Khoảng 500 triệu quảng cáo giả mạo đã được gửi đến iPhone, chủ yếu tại Mỹ, trong cuộc tấn công kéo dài 6 ngày hồi đầu tháng 4/2019. Các nhà nghiên cứu tại công ty xác thực quảng cáo Confiant, người khám phá ra chiến dịch, lo sợ chúng sẽ phát động đợt tấn công khác vào cuối tuần sắp tới. Google đã biết vấn đề này nhưng cho đến khi họ ra bản vá, người dùng iPhone được khuyên nên gắn bó với Safari hoặc trình duyệt khác khi duyệt web.

Trước đó, tháng 2/2019, băng nhóm cũng phát tán quảng cáo giả mạo nhằm vào người dùng Mac. Người dùng Apple là mục tiêu béo bở của quảng cáo độc hại, cả trên desktop lẫn di động, vì họ thường có thu nhập cao và chưa có nhiều mã độc truyền thống nhằm vào macOS hay iOS.

Quảng cáo giả mạo có thể nhận diện thông qua tên miền .World. Dù trình duyệt Chrome trang bị tính năng chặn quảng cáo pop-up, Confiant tìm ra kỹ thuật để qua mặt tính năng bảo mật này. Công ty cho biết sau khi Google vá lỗi, họ sẽ tiết lộ phương pháp.