Phần mềm đánh cắp mật khẩu có khả năng 'bắt chước con người'

Trojan ngân hàng Herodotus có khả năng ‘bắt chước con người’

Các nhà nghiên cứu cho biết, Herodotus là một biến thể trojan ngân hàng được thiết kế tinh vi hơn hẳn so với những mẫu phần mềm độc hại trước đây. Thay vì chỉ chiếm quyền điều khiển thiết bị hoặc chèn cửa sổ giả mạo, Herodotus có thể mô phỏng lại thao tác của người thật, bao gồm cách gõ phím chậm, ngắt quãng và không đều.

Chính khả năng “bắt chước con người” giúp nó qua mặt được các hệ thống bảo mật sinh trắc học và cơ chế phát hiện hành vi tự động. Nói cách khác, các công cụ chống gian lận dựa vào nhịp gõ phím để phân biệt con người với máy móc giờ đã bị đánh lừa.

Phần mềm đánh cắp mật khẩu Herodotus có khả năng ‘bắt chước con người’.

ThreatFabric cho biết họ phát hiện Herodotus trong quá trình giám sát các kênh phân phối phần mềm độc hại ngầm. Mã độc này đang được rao bán theo mô hình “malware-as-a-service” (phần mềm độc hại như một dịch vụ) trên các diễn đàn tội phạm mạng, giúp bất kỳ kẻ tấn công nào cũng có thể thuê hoặc mua để sử dụng.

Các chiến dịch tấn công đã được ghi nhận tại Brazil và Ý, nơi Herodotus được dùng để đánh cắp dữ liệu ngân hàng, mã xác thực hai lớp và cả tin nhắn SMS. “Trojan này triển khai giao diện giả mạo trên ứng dụng ngân hàng hợp pháp, ghi lại thông tin đăng nhập và mã xác thực của nạn nhân”, ThreatFabric cảnh báo.

Điểm đáng chú ý là Herodotus không nhập dữ liệu hàng loạt như các mã độc thông thường. Thay vào đó, nó chia văn bản do kẻ điều khiển nhập thành từng ký tự riêng, mô phỏng thao tác gõ từng phím với độ trễ ngẫu nhiên từ 300 đến 3.000 mili giây, tương tự tốc độ gõ của con người.

Ông Aditya Sood, Phó chủ tịch Kỹ thuật bảo mật tại Aryaka, nhận định: “Việc thêm độ trễ khi nhập dữ liệu không mới, nhưng Herodotus đi xa hơn với cách mô phỏng ngẫu nhiên và tự nhiên như người thật. Đây là kỹ thuật nguy hiểm vì khiến các hệ thống giám sát hành vi rất khó phát hiện”.

Google khuyến cáo người dùng

Trước mối đe dọa này, Google cho biết họ đã triển khai các biện pháp bảo vệ bổ sung trên Play Protect để nhận diện Herodotus và ngăn người dùng cài đặt ứng dụng có chứa mã độc.

Đồng thời, Google khuyến cáo người dùng Android chỉ nên tải ứng dụng từ Google Play, tránh cài đặt file APK không rõ nguồn gốc, và thường xuyên cập nhật bản vá bảo mật mới nhất.

Tiểu Minh