Vi rút chuyên săn ứng dụng ngân hàng lại xuất hiện trên Google Play Store

Lần này, hơn 50.000 người dùng khu vực Bắc Mỹ đã vô tình trở thành nạn nhân tiềm tàng của một chiêu trò tinh vi và nguy hiểm.

Các chuyên gia bảo mật từ Threat Fabric vừa phát hiện một ứng dụng có tên Document Viewer - File Reader được phát hành bởi công ty mang tên Hybrid Cars Simulator, Drift & Racing. Nghe có vẻ vô hại phải không? Đó chính là điều làm nó trở nên nguy hiểm.

Chiêu trò tinh vi: từ thiên thần đến ác quỷ

Điều đáng sợ nhất về ứng dụng này không phải là sự xuất hiện của nó, mà là cách thức hoạt động. Trong suốt hai tháng đầu, ứng dụng hoạt động hoàn toàn bình thường - đọc tài liệu, xem file, không có gì đáng ngờ. Người dùng cài đặt, sử dụng và cảm thấy hài lòng.

Nhưng rồi, trong khoảng thời gian từ ngày 24 - 30.6, một bản cập nhật "vô hại" đã biến ứng dụng thành một con trojan ngân hàng nguy hiểm mang tên Anatsa.

Đây chính là chiêu trò mà các chuyên gia gọi là "đánh lừa thời gian" - tạo ra sự tin tưởng trước khi tấn công. Kẻ tấn công biết rằng Google và các hệ thống bảo mật sẽ giám sát chặt chẽ các ứng dụng mới, nhưng ít chú ý hơn đến những ứng dụng đã "chứng minh" sự an toàn.

Anatsa - Kẻ săn mồi chuyên nghiệp

Anatsa không phải là vi rút thông thường. Đây là một "thợ săn" chuyên nghiệp được lập trình để thực hiện các bước bài bản.

Đầu tiên là bước trinh sát mục tiêu, nó quét toàn bộ thiết bị tìm kiếm các ứng dụng ngân hàng Bắc Mỹ và xác định các mục tiêu có giá trị.

Bước 2 là tấn công chính xác. Nó tạo ra các trang web giả hoàn toàn giống với giao diện ngân hàng thật. Từ đó, nó đánh cắp thông tin đăng nhập, mật khẩu, thậm chí cả mã OTP.

Bước 3 là che đậy dấu vết. Nó hiển thị thông báo "bảo trì hệ thống" để người dùng không nghi ngờ. Trong khi đó, kẻ tấn công có thể truy cập tài khoản và thực hiện giao dịch.

Cần nhớ, Anatsa không phải là "tân binh" trong làng tội phạm mạng. Đây là một kẻ tái phạm có số má. Cụ thể vào tháng 11.2021: một ứng dụng nhiễm Anatsa với 300.000 lượt tải; tháng 6.2023: một ứng dụng khác với 30.000 lượt tải. Tháng 2.2024 lại thêm một ứng dụng với 150.000 lượt tải. Tháng 5 vừa qua có 2 ứng dụng với tổng cộng 70.000 lượt tải...

Còn tháng 7 lần này là đợt tấn công mới nhất với 50.000 nạn nhân tiềm tàng. Có thể thấy mỗi lần Google phát hiện và gỡ bỏ, những kẻ tấn công lại tìm cách quay trở lại với hình thức mới. Đây là một cuộc chiến mèo vờn chuột không hồi kết.

Phản hồi từ Google

Đại diện Google xác nhận "Tất cả các ứng dụng độc hại đã được gỡ bỏ khỏi Google Play. Người dùng được bảo vệ tự động bởi Google Play Protect, có thể cảnh báo hoặc chặn các ứng dụng có hành vi độc hại".

Tuy nhiên, việc Anatsa liên tục quay trở lại cho thấy cuộc chiến chống tội phạm mạng vẫn đang tiếp diễn. Vụ việc này một lần nữa nhắc nhở: Không có nơi nào tuyệt đối an toàn trên internet, kể cả Google Play Store. Ngoài ra, sự cẩn thận là vũ khí tốt nhất chống lại tội phạm mạng. Trang bị kiến thức bảo mật là điều cần thiết cho mọi người dùng smartphone

Biện pháp phòng ngừa

Để tránh rủi ro, người dùng cần kiểm tra kỹ nhà phát hành trước khi tải ứng dụng; Đọc đánh giá từ người dùng khác, đặc biệt là những đánh giá mới nhất; tránh cấp quyền không cần thiết cho ứng dụng; cập nhật thường xuyên hệ thống bảo mật.

Nếu bạn đã cài ứng dụng thì hãy gỡ bỏ ngay lập tức ứng dụng Document Viewer – File Reader. Đồng thời, cần chạy quét toàn bộ hệ thống bằng Google Play Protect. Tiếp đó, hãy thay đổi mật khẩu tất cả tài khoản ngân hàng, đồng thời liên hệ ngân hàng để báo cáo sự cố và theo dõi giao dịch

Trong thế giới số hiện tại, việc bảo vệ thông tin cá nhân không chỉ là trách nhiệm của các công ty công nghệ, mà còn là của chính mỗi người dùng. Hãy luôn tỉnh táo, cẩn thận và cập nhật các biện pháp bảo mật để không trở thành nạn nhân tiếp theo của những kẻ tấn công ngày càng tinh vi này.

Bùi Tú