Mã độc khai thác 'sự lỏng lẻo' của các ứng dụng tài chính - ngân hàng
Biến thể của mã độc GoldDigger - GoldPickaxe có khả năng đánh cắp thông tin tài khoản, thông tin xác thực sinh trắc học và chiếm quyền kiểm soát thiết bị Android, iOS. Người dùng cần cẩn trọng, bởi nhiều ngân hàng Việt Nam đang trong 'tầm ngắm' của GoldDigger.
Ứng dụng tài chính - ngân hàng, “miếng mồi ngon” của tội phạm mạng
Thanh toán không tiền mặt, Trí tuệ nhân tạo (AI) và ESG (môi trường - xã hội - quản trị) sẽ là những xu hướng then chốt giúp thúc đẩy quá trình phát triển của ngân hàng số. Tuy vậy, theo các chuyên gia, điều này có thể dẫn tới các rủi ro, nhất là khi các ứng dụng tài chính - ngân hàng dễ trở thành mục tiêu bị mã độc tấn công.
Chia sẻ cụ thể hơn về nội dung này, ông Troy Lê, Giám đốc Kinh doanh Giải pháp bảo mật của Verichains khi phát biểu tại Asian Banking & Finance Forum 2024, tổ chức tại TP.HCM mới đây, cảnh báo rằng, mã độc có tên Trojan GoldDigger đang nhắm vào người dùng của hơn 50 ứng dụng ngân hàng, ví điện tử nhằm mục đích đánh cắp tài sản.
Mã độc này được kích hoạt và hoạt động từ tháng 6/2023. Hiện Việt Nam và Thái Lan là hai thị trường đã ghi nhận sự xuất hiện của mã độc này.
Theo thông tin từ Verichains, mã độc Trojan GoldDigger giả mạo cổng thông tin chính phủ và ứng dụng của một công ty năng lượng, lợi dụng chức năng Accessibility (trợ năng) trên Android để trích xuất thông tin cá nhân, đánh cắp dữ liệu ứng dụng, đọc trộm tin nhắn và chiếm quyền điều khiển thiết bị người dùng từ xa.
Hiện chưa có thống kê chính xác bao nhiêu thiết bị đã bị nhiễm mã độc này. Tuy nhiên, theo ông Troy Lê, khi mã độc thâm nhập vào điện thoại và được trao quyền Accessibility, Trojan GoldDigger sẽ tự định vị chính xác 50 ứng dụng tài chính - ngân hàng cũng như ví điện tử, ví crypto trên điện thoại để thực hiện việc đánh cắp thông tin mật khẩu và xem trộm tin nhắn…
Hiện đã ghi nhận 4 biến thể của mã độc GoldDigger bao gồm: GoldDigger, GoldDiggerPlus, GoldKefu và GoldPickaxe đặc biệt nguy hiểm khi có thể đánh cắp thông tin xác thực sinh trắc học và hoạt động trên cả thiết bị Android, iOS.
Đại diện Verichains cho biết, trong tháng 3/2024, đã có trường hợp ghi nhận một khách hàng bị mất số tiền hơn 800 triệu đồng sau khi click vào link lạ và thiết bị tự thực hiện hàng loạt thao tác chuyển tiền và xác thực sinh trắc học.
“Dù chưa có chứng cứ chứng thực việc này là do mã độc GoldPickaxe nhưng với sự phổ biến của mã độc GoldDigger tại Việt Nam, thì đây có thể là dấu hiệu tội phạm mạng đang bắt đầu triển khai GoldPickaxe tại Việt Nam”, ông Troy Lê nói.
Theo ông Troy Lê, đáng chú ý nhất là các biến thể mã độc này sử dụng Virbox Protector, một phần mềm mã hóa hợp pháp nhằm gây khó khăn cho các nhà điều tra, an ninh mạng khi phân tích, truy dấu ngược nên vẫn chưa thể diệt trừ hoàn toàn tổ chức đứng sau trojan này.
Khuyến cáo của chuyên gia bảo mật
Từ thực tế này, chuyên gia bảo mật của Verichains đã đưa ra khuyến cáo với cả phía người dùng và phía ngân hàng.
Với phía người dùng, Verichains cho rằng, khi một thiết bị đã bị xâm nhập hệ thống dữ liệu bên trong, có nghĩa là người dùng sẽ bị tấn công theo hai hướng.
Một là, mã độc sẽ âm thầm thu thập các thông tin cá nhân của người dùng trong thiết bị và quay lén các dữ liệu về hoạt động, thông tin nhập vào, tạo ra các bản ghi nhật ký (log).
Hai là, hacker sử dụng kỹ thuật proxy để trực tiếp chuyển đoạn video nhận diện khuôn mặt của người dùng vào ứng dụng ngân hàng để thực hiện xác thực gương mặt, thậm chí có thể sử dụng địa chỉ IP của nạn nhân và các công cụ AI hỗ trợ để làm cho hành hành động của chúng giống như người dùng.
Từ phía ngân hàng, chuyên gia của Verichains cho rằng, các ứng dụng tài chính - ngân hàng luôn trong tầm ngắm của hacker nên khi thiết bị nhiễm mã độc thì nguy cơ ứng dụng bị tấn công API là rất cao. Khi xâm nhập API của ứng dụng thành công, hacker có có thể thực hiện các cuộc tấn công xen giữa để nhúng tay vào các chuỗi thực thi giữa người dùng và ứng dụng, cũng như khai thác trái phép dữ liệu từ máy chủ một cách dễ dàng.
Theo ông Troy Lê, trong bối cảnh tấn công mã độc ngày càng gia tăng, hướng đến nhóm người dùng với hiểu biết công nghệ khác nhau, việc thiết bị người dùng bị lừa cài đặt mã độc là điều khó tránh khỏi. Vì thế, khuyến cáo được chuyên gia bảo mật của Verichains đưa ra là nên sử dụng giải pháp bảo vệ (shield) ứng dụng.
Trong đó, BShield, giải pháp bảo mật ứng dụng được phát triển bởi Verichains đang được sử dụng bởi những ứng dụng quốc dân như VneID, ZaloPay và một số ngân hàng đã có kinh nghiệm thực tế trong công tác bảo vệ dữ liệu ứng dụng phía doanh nghiệp và người dùng.
Cụ thể, Bshield sẽ cung cấp môi trường BShield OS để doanh nghiệp tạo lớp “bọc” ứng dụng trước khi phát hành đến tay người dùng, bảo vệ người dùng và doanh nghiệp ngay cả lúc thiết bị nhiễm mã độc.
Giải pháp này cũng sẽ phát hiện và cảnh báo can thiệp theo thời gian thực kể cả lúc ứng dụng ở trạng thái đang nghỉ hay đang hoạt động thông qua cơ chế mã hóa White-box Cryptography và bảng theo dõi trực tuyến.
Bshield cũng sẽ giúp ngăn chặn các dạng tấn công khai thác lỗ hổng, điểm yếu hệ thống, phát hiện các tấn công can thiệp từ sớm để nâng cao hàng rào bảo mật.
Theo chuyên gia của Verichains, khi ứng dụng chưa được nâng cấp lớp Shield, quá trình gửi thông tin từ ứng dụng về máy chủ có thể bị đưa vào tầm ngắm của các đối tượng tấn công. Nếu API chưa được bảo vệ, quá trình truyền thông tin này có thể bị can thiệp thay đổi kết quả. Từ đây doanh nghiệp cần nâng cao bảo mật qua cơ chế Bảo vệ API, đảm bảo thông tin chỉ được ghi nhận từ ứng dụng đã được Shield và không bị xem lén, chỉnh sửa trong quá trình truyền về máy chủ.
“BShield sẽ sở hữu thêm lớp bảo vệ thứ 3 được xây dựng, tinh chỉnh riêng theo nhu cầu thực tế của phía doanh nghiệp tài chính - ngân hàng hàng để đảm bảo tính phù hợp và linh hoạt theo hạ tầng số của doanh nghiệp. Đặc biệt tính năng ngăn chặn đánh cắp API key rất được các doanh nghiệp tài chính - ngân hàng quan tâm”, ông Troy Lê chia sẻ thêm.