Hai ứng dụng có thể khiến người dùng mất sạch tiền trong tài khoản ngân hàng, đã có 70.000 người cài đặt

Mới đây, Zscaler – công ty Mỹ chuyên cung cấp các dịch vụ dựa trên đám mây để bảo vệ mạng và dữ liệu cho biết tại Zscaler ThreatLabz, họ đã thường xuyên theo dõi cửa hàng Google Play trên hệ điều hành Android để tìm kiếm các ứng dụng độc hại.

Trong vài tháng qua, doanh nghiệp này đã xác định và phân tích hơn 90 ứng dụng độc hại được tải lên cửa hàng Google Play. Các ứng dụng bị nhiễm phần mềm độc hại này đã thu hút tổng cộng hơn 5,5 triệu lượt cài đặt.

Gần đây, Zscaler nhận thấy sự gia tăng các trường hợp phần mềm độc hại Anatsa (hay còn gọi là TeaBot). Phần mềm độc hại tinh vi này sử dụng các ứng dụng dropper có vẻ vô hại với người dùng, đánh lừa họ khi vô tình cài đặt phần tải độc hại.

Sau khi khách hàng cài đặt, Anatsa sẽ đánh cắp thông tin tài chính và thông tin ngân hàng nhạy cảm từ các ứng dụng tài chính toàn cầu. Trojan này thực hiện điều đó thông qua việc sử dụng các kỹ thuật phủ và khả năng truy cập, cho phép nó chặn và thu thập dữ liệu một cách kín đáo.

>> Cảnh giác với phần mềm độc hại mới giả Google Chrome để lừa đánh cắp thông tin

Anatsa là phần mềm độc hại về ngân hàng trên kho ứng dụng di động của hệ điều hành Android nhắm vào các ứng dụng từ hơn 650 tổ chức tài chính, chủ yếu ở châu Âu, Vương quốc Anh, Mỹ và châu Á.

Các chuyên gia an ninh mạng của Zcaler đã quan sát thấy Anatsa chủ động nhắm vào các ứng dụng ngân hàng ở Hoa Kỳ và Vương quốc Anh. Tuy nhiên, những quan sát gần đây cũng cho thấy rằng các tác nhân đe dọa đã mở rộng mục tiêu của chúng, bao gồm các ứng dụng ngân hàng ở Đức, Tây Ban Nha, Phần Lan, Hàn Quốc và Singapore.

Phần mềm độc hại ngân hàng Anatsa sử dụng kỹ thuật dropper, trong đó ứng dụng ban đầu có vẻ sạch sẽ khi cài đặt. Tuy nhiên, sau khi người dùng cài đặt, ứng dụng sẽ tiến hành tải xuống mã độc hại hoặc tải trọng dàn dựng từ máy chủ chỉ huy và kiểm soát (C2), được ngụy trang thành bản cập nhật ứng dụng vô hại. Cách tiếp cận chiến lược này cho phép các phần mềm độc hại được tải lên Cửa hàng Google Play chính thức và tránh bị phát hiện.

>> ‘Sân chơi của các nhà lập trình’ GitHub trở thành ổ phần mềm độc hại

Các chuyên gia của Zscaler cho biết hai ứng dụng bị nghi ngờ dính mã độc Anatsa là “PDF Reader & File Manager” và “QR Reader & File Manager” đã được xác định là các ứng dụng mồi nhử. Nếu đã tải về, người dùng có nguy cơ cao bị dính mã độc và mất thông tin tài khoản ngân hàng của mình, dẫn đến việc họ có thể bị kẻ xấu đánh cắp toàn bộ tiền trong tài khoản ngân hàng.

“PDF Reader & File Manager” và “QR Reader & File Manager” đã mạo danh các ứng dụng đọc PDF và đọc mã QR để thu hút một lượng lớn lượt cài đặt. Số lượng cài đặt cao càng giúp đánh lừa nạn nhân tin rằng các ứng dụng này là chính hãng.

Các nhà nghiên cứu bảo mật của Zscaler cho biết, vào thời điểm công bố phân tích này, hai ứng dụng “PDF Reader & File Manager” và “QR Reader & File Manager” đã có tới 70.000 lượt cài đặt, đồng nghĩa với khoảng 70.000 thiết bị có nguy cơ bị tấn công bởi phần mềm độc hại. Các chuyên gia khuyến cáo người dùng cần nhanh chóng gỡ bỏ hai ứng dụng này ra khỏi thiết bị.

Để bảo vệ chiếc điện thoại thông minh (smartphone) của mình, người dùng cần đảm bảo tính năng Google Play Protect được kích hoạt. Nếu phát hiện dấu hiệu của phần mềm độc hại như quảng cáo bất thường, bị trừ tiền không rõ lý do, hay pin hao nhanh, nên đưa điện thoại về chế độ cài đặt gốc. Thao tác này sẽ xóa tất cả nội dung, bao gồm cả tệp độc hại.

Để khôi phục cài đặt gốc, người dùng có thể thực hiện theo các bước: vào Settings (Cài đặt) => System (Hệ thống) => Reset Options (Tùy chọn đặt lại) => Erase all data (Xóa toàn bộ dữ liệu).

Theo zcaler.com

>> Google cung cấp tính năng quét ứng dụng mới để phát hiện phần mềm độc hại