Phát hiện 4 mã độc Android mới nhắm tới hơn 800 ứng dụng ngân hàng

Một nghiên cứu mới từ công ty công nghệ bảo mật Zimperium (Mỹ) đã hé lộ bức tranh đáng lo ngại về bảo mật trên các thiết bị Android khi phát hiện 4 chiến dịch phần mềm độc hại quy mô lớn, bao gồm RecruitRat, SaferRat, Astrinox và Massiv.

Ảnh minh họa.

Theo nhóm nghiên cứu an ninh mạng zLabs trực thuộc Zimperium, các mối đe dọa này đang nhắm mục tiêu trực tiếp vào hơn 800 ứng dụng ngân hàng và ví tiền điện tử trên toàn cầu, với khả năng đánh cắp dữ liệu cá nhân ở mức độ cao.

Bốn mã độc với nhiều chiêu thức lừa đảo tinh vi

Các chuyên gia cho biết mỗi họ mã độc sử dụng một phương thức lây nhiễm khác nhau, nhưng đều xoay quanh các kỹ thuật lừa đảo phổ biến như lừa đảo qua website giả mạo (phishing) và lừa đảo qua tin nhắn SMS (smishing).

Trong đó, SaferRat tận dụng tâm lý người dùng bằng cách dựng lên các trang web giả mạo, hứa hẹn cung cấp quyền truy cập miễn phí vào các dịch vụ phát trực tuyến cao cấp. Những trang này được thiết kế giống hệt giao diện thật, khiến nạn nhân dễ dàng nhập thông tin đăng nhập mà không nghi ngờ.

Trong khi đó, RecruitRat lại nhắm vào nhóm người đang tìm việc. Tin tặc tạo ra các website tuyển dụng giả, sau đó yêu cầu người dùng tải xuống tệp APK được ngụy trang như một hồ sơ xin việc. Khi cài đặt, mã độc bắt đầu hoạt động ngầm.

Astrinox tiếp cận theo hướng khác, giả mạo một công cụ kinh doanh mang tên HireX và phát tán qua một trang web riêng. Đáng chú ý, dù từng xuất hiện dấu vết trên App Store, nhưng các nhà nghiên cứu xác nhận chiến dịch này hiện chỉ nhắm đến thiết bị Android.

Riêng Massiv là trường hợp bí ẩn nhất. Mã độc này được che giấu cực kỳ tinh vi, đến mức các chuyên gia chưa thể xác định rõ phương thức phát tán ban đầu, cho thấy mức độ nguy hiểm và khó phát hiện của nó.

Tấn công “overlay” - chiêu trò đánh cắp thông tin tinh vi

Sau khi xâm nhập thiết bị, các mã độc nhanh chóng triển khai kỹ thuật overlay, đây là một hình thức tấn công phổ biến nhưng cực kỳ hiệu quả. Khi người dùng mở ứng dụng ngân hàng hoặc ví điện tử, một lớp giao diện giả sẽ xuất hiện đè lên ứng dụng thật.

Điều nguy hiểm là giao diện này trông hoàn toàn giống bản gốc. Khi người dùng nhập thông tin đăng nhập hoặc mã PIN, dữ liệu này sẽ được gửi trực tiếp đến tin tặc thay vì hệ thống chính thức.

Không dừng lại ở đó, các mã độc còn tận dụng quyền Trợ năng (Accessibility Service), một tính năng vốn được thiết kế để hỗ trợ người khuyết tật nhằm kiểm soát sâu thiết bị. Chúng có thể hiển thị màn hình giả như “đang cập nhật hệ thống” hoặc “ứng dụng bị treo” để đánh lạc hướng người dùng, trong khi âm thầm thu thập dữ liệu phía sau.

Đánh cắp mã OTP và theo dõi toàn bộ hoạt động

Một trong những điểm đáng lo ngại nhất là khả năng vượt qua các lớp bảo mật phổ biến như mã OTP. Các chuyên gia phát hiện rằng các mã độc này có thể chặn và đọc tin nhắn SMS theo thời gian thực, từ đó lấy cắp mã xác thực hai lớp, vốn được xem là lớp bảo vệ quan trọng.

Đặc biệt, RecruitRat được đánh giá là nguy hiểm hơn khi tích hợp sẵn thư viện hơn 700 giao diện đăng nhập giả mạo. Khi phát hiện người dùng mở một ứng dụng mục tiêu, nó sẽ tự động hiển thị giao diện tương ứng để đánh lừa.

Ngoài ra, các phần mềm độc hại này còn sử dụng kỹ thuật ghi bàn phím (keylogging) để ghi lại mọi thao tác chạm trên màn hình. Điều này cho phép tin tặc thu thập toàn bộ thông tin đăng nhập, nội dung tin nhắn và thậm chí cả dữ liệu nhạy cảm khác.

Chúng duy trì kết nối liên tục với máy chủ điều khiển thông qua WebSockets, giúp tin tặc theo dõi thiết bị theo thời gian thực và kích hoạt tấn công vào thời điểm thích hợp nhất.

Nguy cơ gia tăng lừa đảo và khuyến nghị bảo mật

Sự xuất hiện đồng thời của nhiều họ mã độc với kỹ thuật ngày càng tinh vi cho thấy hệ sinh thái Android đang trở thành mục tiêu hấp dẫn đối với tội phạm mạng, đặc biệt trong lĩnh vực tài chính và tiền điện tử.

Theo các chuyên gia, người dùng cần đặc biệt cảnh giác với các liên kết được gửi qua email hoặc tin nhắn, nhất là những nội dung mang tính khẩn cấp hoặc hấp dẫn bất thường. Việc tải ứng dụng từ các nguồn không chính thức, đặc biệt là file APK, là một trong những nguyên nhân chính dẫn đến lây nhiễm.

Bên cạnh đó, người dùng nên:

- Chỉ cài đặt ứng dụng từ cửa hàng Google Play hoặc nguồn tin cậy.

- Kiểm tra kỹ quyền truy cập, đặc biệt là quyền Trợ năng.

- Không nhập thông tin đăng nhập khi có dấu hiệu bất thường.

- Sử dụng các giải pháp bảo mật di động uy tín.

Trong bối cảnh các cuộc tấn công ngày càng tinh vi, việc nâng cao nhận thức và thói quen sử dụng an toàn vẫn là “lá chắn” hiệu quả nhất để bảo vệ dữ liệu cá nhân.