Dùng ứng dụng đọc tài liệu trên Google Play, mất sạch tiền trong tài khoản
Một mối đe dọa an ninh mạng mới vừa được phát hiện trên Google Play Store, nơi một ứng dụng lừa đảo ngụy trang dưới vỏ bọc trình đọc tài liệu và quản lý tập tin để tấn công tài khoản ngân hàng của người dùng.
Hình ảnh về thông điệp cảnh báo của Zscaler ThreatLabz. Ảnh: Zscaler ThreatLabz.
Công ty an ninh mạng Zscaler ThreatLabz đã xác định ứng dụng có tên “Document Reader - File Manager”, được phát triển bởi ISTOQMAH, thực chất là công cụ phát tán mã độc. Mặc dù chứa phần mềm độc hại, ứng dụng này vẫn hoạt động trên cửa hàng ứng dụng và đã thu hút hơn 50.000 lượt tải xuống, lừa người dùng cấp quyền để đánh cắp dữ liệu tài chính.
Loại mã độc ẩn sau ứng dụng này là Anatsa, còn được biết đến với tên gọi TeaBot, xuất hiện lần đầu vào năm 2020. Đây là một loại mã độc ngân hàng dành cho Android, chuyên đánh cắp thông tin đăng nhập, ghi lại thao tác bàn phím và thực hiện các giao dịch gian lận nhắm vào các ứng dụng tài chính.
Phạm vi hoạt động của Anatsa ngày càng mở rộng và trở nên nguy hiểm hơn. Các phiên bản mới nhất của mã độc này hiện nhắm mục tiêu vào hơn 831 tổ chức trên toàn thế giới, bao gồm các nền tảng tiền điện tử và mở rộng sang các khu vực mới như Đức và Hàn Quốc.
Thủ đoạn tinh vi qua mặt Google Play
Để xâm nhập vào thiết bị người dùng và vượt qua các biện pháp bảo vệ của Google Play Store, tin tặc đã sử dụng các chiến thuật né tránh tiên tiến.
Ban đầu, ứng dụng đóng vai trò như một công cụ "dropper" vô hại với giao diện trực quan để mở PDF và quản lý tập tin.
Sau khi được cài đặt, phần mềm này mới âm thầm tải xuống mã độc Anatsa từ máy chủ điều khiển, được ngụy trang dưới dạng một bản cập nhật phần mềm.
Trojan này sử dụng giải mã chuỗi DES trong thời gian chạy và các tệp lưu trữ ZIP bị lỗi để ẩn chứa tải trọng DEX nhằm tránh bị các công cụ phân tích tĩnh phát hiện. Nó cũng kiểm tra kiểu thiết bị để né tránh các trình giả lập; nếu quá trình kiểm tra thất bại, nó sẽ chỉ hiển thị một trình quản lý tập tin giả để che giấu thân phận thực sự.
Khi đã được kích hoạt trên thiết bị nạn nhân, Anatsa sẽ yêu cầu quyền truy cập để tự động cấp các đặc quyền nguy hiểm như SYSTEM_ALERT_WINDOW và READ_SMS. Từ đó, nó có khả năng phủ các trang đăng nhập giả mạo lên trên các ứng dụng ngân hàng chính thống để đánh cắp thông tin. Người dùng phải đối mặt với nguy cơ bị đánh cắp thông tin đăng nhập hoặc bị mã độc thực hiện gian lận tự động.
Khuyến cáo dành cho người dùng
Vụ việc này là một phần của chiến dịch lớn hơn, khi các nhóm tội phạm mạng thường lợi dụng sự tin tưởng vào các ứng dụng như trình xem tài liệu để cài cắm mã độc. ThreatLabz báo cáo rằng gần đây đã có 77 ứng dụng độc hại tương tự với tổng cộng 19 triệu lượt cài đặt bị xóa khỏi Google Play.
Để bảo vệ bản thân, người dùng Android được khuyến cáo:
Thứ nhất, kiểm tra kỹ quyền truy cập của ứng dụng trước khi cài đặt hoặc cập nhật.
Thứ hai là tránh các bản cập nhật không cần thiết từ bên trong ứng dụng nếu không thông qua cửa hàng chính thức.
Cuối cùng là sử dụng phần mềm diệt virus uy tín trên thiết bị di động.
Dù Google đã tăng cường tính năng Play Protect, các chiến dịch tấn công này cho thấy việc bảo vệ các cửa hàng ứng dụng chính thức khỏi phần mềm độc hại tinh vi vẫn là một thách thức lớn.
