Mã độc ngân hàng Anatsa đang quay trở lại với một chiến dịch phát tán mới, tiếp tục gây lo ngại trong cộng đồng an ninh mạng. Các chuyên gia cảnh báo rằng một ứng dụng Android giả mạo, ngụy trang dưới dạng công cụ đọc PDF và quản lý tệp tin, đã âm thầm vượt qua cơ chế kiểm duyệt của Google Play để phát tán mã độc Anatsa (còn gọi là TeaBot) vào thiết bị người dùng. Nếu vô tình cài đặt ứng dụng này, người dùng có thể đối mặt với nguy cơ mất tiền, mất dữ liệu nhạy cảm và thậm chí bị chiếm quyền điều khiển thiết bị.
Ứng dụng độc hại đạt hơn 50.000 lượt tải trước khi bị phát hiện
Theo báo cáo từ nhóm nghiên cứu bảo mật Zscaler ThreatLabz, ứng dụng mang tên “Document Reader - File Manager”, do nhà phát hành ISTOQMAH tung lên Google Play, đã thu hút hơn 50.000 lượt tải. Giao diện thân thiện, mô tả hấp dẫn và khả năng xử lý tài liệu khiến nhiều người dùng tưởng rằng đây là công cụ hữu ích. Tuy nhiên, phía sau lớp vỏ đó là một bộ mã độc tinh vi được nhúng bên trong nhằm đánh cắp dữ liệu tài chính. Ứng dụng âm thầm yêu cầu các quyền truy cập nhạy cảm, từ đó mở đường cho mã độc tấn công trực tiếp vào các ứng dụng ngân hàng.
Mã độc ngân hàng Anatsa - mối đe dọa lan rộng toàn cầu từ 2020
Nhắc cho các bạn nhớ thì mã độc ngân hàng Anatsa (hay TeaBot) xuất hiện từ năm 2020 và nhanh chóng phát triển thành một trong những dòng malware ngân hàng nguy hiểm nhất trên Android. Mã độc này có khả năng:
- Đánh cắp thông tin đăng nhập tài khoản ngân hàng
- Ghi lại thao tác bàn phím
- Tự động thực hiện giao dịch gian lận
- Tạo màn hình giả mạo để lừa người dùng nhập dữ liệu nhạy cảm
Các biến thể mới của Anatsa hiện đã nhắm tới hơn 831 tổ chức tài chính trên toàn cầu, lan rộng sang nhiều khu vực mới như Đức, Hàn Quốc và cả các nền tảng tiền mã hóa.
Kỹ thuật né phát hiện rất tinh vi
Chiến dịch giả mạo lần này sử dụng một loạt kỹ thuật che giấu phức tạp:
- Mã hóa DES để giấu chuỗi độc hại, chỉ giải mã khi chạy
- Kiểm tra model thiết bị để tránh môi trường giả lập của chuyên gia phân tích
- Ẩn payload độc hại trong file ZIP có cấu trúc bất thường để vượt qua kiểm tra bảo mật
- Tải mã độc từ máy chủ C2 dưới dạng “bản cập nhật”, vượt mặt cơ chế bảo vệ của Google Play
Nếu các kiểm tra phát hiện nguy cơ bị phân tích, ứng dụng sẽ hiển thị giao diện quản lý file bình thường để đánh lừa người dùng.
Chiếm quyền thiết bị và đánh cắp tiền ngay khi người dùng mất cảnh giác
Khi đã xâm nhập thành công, Anatsa tìm cách chiếm quyền Accessibility Service - tính năng vốn dành cho hỗ trợ người khuyết tật nhưng thường bị lợi dụng để tự động cấp quyền nguy hiểm như:
- SYSTEM_ALERT_WINDOW (hiển thị màn hình giả phủ lên ứng dụng khác)
- READ_SMS (đọc mã OTP)
- Khởi tạo giao diện toàn màn hình để lừa người dùng nhập thông tin
Từ đây, mã độc hiển thị trang đăng nhập ngân hàng giả mạo và chiếm trọn quyền thao tác của người dùng, dẫn tới mất thông tin và khả năng bị trừ tiền ngay lập tức. Chỉ trong thời gian gần đây, các chuyên gia đã phát hiện 77 ứng dụng độc hại tương tự với tổng cộng 19 triệu lượt cài đặt đã bị Google gỡ bỏ. Các ứng dụng dạng tiện ích như “đọc tài liệu”, “quản lý file”, “quét PDF” tiếp tục bị hacker khai thác vì dễ tạo lòng tin.
Khuyến cáo dành cho người dùng Android tại Việt Nam
Dù chưa có số liệu thiệt hại riêng tại Việt Nam, mô hình tấn công này có rủi ro cao vì người dùng trong nước thường cài đặt các ứng dụng tiện ích miễn phí mà không kiểm tra kỹ. Các chuyên gia khuyến cáo người dùng:
- Chỉ cài ứng dụng từ nhà phát hành uy tín, có nhiều đánh giá chất lượng
- Kiểm tra kỹ quyền truy cập trước khi cài đặt hoặc cấp phép
- Tuyệt đối không nhấn "Cập nhật" trong ứng dụng nếu hệ thống không yêu cầu
- Bật Google Play Protect và thường xuyên quét thiết bị
- Sử dụng phần mềm diệt virus đáng tin cậy
- Nếu lỡ cài ứng dụng khả nghi: gỡ bỏ ngay, đổi mật khẩu tài khoản ngân hàng và kiểm tra giao dịch bất thường
Các cửa hàng ứng dụng chính thức không còn là nơi an toàn tuyệt đối. Người dùng cần tăng cảnh giác vì malware ngày càng tinh vi và có thể vượt qua kiểm duyệt. Malware ngân hàng đang trở thành mối đe dọa hàng đầu trên Android, chỉ cần một lần nhầm lẫn khi cài ứng dụng cũng có thể đánh đổi bằng việc mất tài khoản, mất tiền và mất quyền kiểm soát thiết bị. Người dùng cần tăng cường cảnh giác và theo dõi các thông tin cảnh báo từ cộng đồng an ninh mạng, đặc biệt trong bối cảnh các chiến dịch như Anatsa đang có xu hướng bùng phát mạnh trên toàn cầu.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
