Cảnh báo mã độc Sturnus đọc trộm tin nhắn và lấy dữ liệu ngân hàng trên Android
Theo cảnh báo của công ty an ninh mạng ThreatFabric, phần mềm Sturnus có thể âm thầm đọc trộm tin nhắn và đánh cắp thông tin ngân hàng mà người dùng Android không hề hay biết.
Mã độc Sturnus có khả năng đọc các tin nhắn mã hóa trong Whatsapp, Signal và Telengram. Ảnh: CyberInsider.
Sturnus được mô tả là một mối đe dọa tinh vi và toàn diện, kết hợp các tính năng tiên tiến thường thấy ở các phần mềm độc hại Android hàng đầu.
Theo báo cáo từ ThreatFabric, Sturnus đã được quan sát trong các cuộc tấn công có chủ đích, chủ yếu nhắm vào người dùng ở Nam và Trung Âu. Các nhà nghiên cứu nhận định rằng mã độc này vẫn đang trong giai đoạn phát triển ban đầu, có thể đang được triển khai không thường xuyên để thử nghiệm chứ chưa phải trong các chiến dịch quy mô lớn. Tuy nhiên, kiến trúc "sẵn sàng mở rộng" của nó khiến đây trở thành một mối đe dọa nguy hiểm cần phải đề phòng.
Phương thức lây nhiễm
Quá trình lây nhiễm bắt đầu khi người dùng tải xuống các tệp APK (các ứng dụng được tải xuống từ các trang web không chính thức, bên ngoài cửa hàng Google Play) Android độc hại. Những tệp APK này thường được ngụy trang dưới dạng các ứng dụng hợp pháp, chẳng hạn như Google Chrome hoặc Preemix Box và người dùng đã vô tình cài đặt các ứng dụng của bên thứ ba chứa Sturnus này.
Sau khi cài đặt, Sturnus thiết lập một kênh HTTPS được mã hóa để truyền lệnh và dữ liệu bị rò rỉ.
Khi người dùng mở một ứng dụng nhắn tin an toàn, mã độc sẽ phát hiện ứng dụng và kích hoạt Quy trình tạo, kiểm tra, chuẩn hóa và phân phối cây giao diện (UI-tree pipeline). Hệ thống này cho phép Sturnus đọc tất cả dữ liệu hiển thị trên màn hình theo thời gian thực, bao gồm tên người gửi, nội dung tin nhắn và dấu thời gian. Vì việc giám sát này diễn ra cục bộ, nó vô hiệu hóa các biện pháp bảo vệ được cung cấp bởi các giao thức như Giao thức Signal. Hoạt động này diễn ra mà không có bất kỳ cảnh báo rõ ràng nào cho người dùng và giao diện ứng dụng vẫn trông bình thường. Đây cũng là tính năng đáng báo động nhất.
Ngoài ra, Sturnus còn giành được quyền quản trị viên thiết bị Android, cho phép nó theo dõi các lần thay đổi mật khẩu và nỗ lực mở khóa, cũng như khóa thiết bị từ xa. Phần mềm độc hại này cũng được thiết kế để ngăn chặn người dùng xóa bỏ đặc quyền hoặc gỡ cài đặt phần mềm khỏi thiết bị.
Đánh cắp thông tin ngân hàng một cách tinh vi
Sturnus có thể đánh cắp thông tin đăng nhập ngân hàng thông qua màn hình đăng nhập giả mạo, sử dụng các lớp phủ HTML mô phỏng các ứng dụng ngân hàng hợp pháp. Các lớp phủ này được lưu trữ cục bộ và được thiết kế riêng cho các tổ chức tài chính cụ thể.
Phần mềm độc hại này cung cấp cho kẻ tấn công khả năng điều khiển từ xa toàn diện, thời gian thực. Khả năng kiểm soát từ xa cho phép kẻ tấn công theo dõi mọi hoạt động của người dùng, chèn văn bản mà không cần tương tác vật lý, thực hiện các giao dịch gian lận, bao gồm chuyển tiền từ ứng dụng ngân hàng, xác nhận hộp thoại, chấp thuận màn hình xác thực đa yếu tố, thay đổi cài đặt hoặc cài đặt ứng dụng mới.
Trong khi thực hiện các hành động độc hại này, Sturnus hoạt động với khả năng ẩn danh cao. Nó có thể làm đen màn hình thiết bị (kích hoạt lớp phủ màu đen) để che giấu hoạt động đang diễn ra ở chế độ nền mà nạn nhân không hề hay biết.
Khuyến nghị bảo vệ
Để bảo vệ khỏi Sturnus, người dùng Android nên thực hiện các biện pháp phòng ngừa sau:
Tránh tải xuống tệp APK từ bên ngoài Google Play hoặc từ các nhà phát triển ứng dụng không rõ nguồn gốc.
Luôn bật Play Protect để quét và loại bỏ các mối đe dọa.
Tránh cấp quyền trợ năng (Accessibility) trừ khi thực sự cần thiết và kiểm tra các ứng dụng đã cài đặt để biết quyền của Dịch vụ trợ năng.
- Video có thể bạn quan tâm: Cảnh báo mã độc đánh cắp thông tin từ hình ảnh trên Android và iPhone. Nguồn: VTV24.
