MinhSec
Writer
Một cuộc điều tra của công ty bảo mật di động Zimperium vừa tiết lộ mối đe dọa an ninh mạng đang lan nhanh trên toàn cầu: phần mềm độc hại NFC Relay, nhắm vào người dùng Android sử dụng tính năng chạm để thanh toán (tap-to-pay).
Theo nhóm nghiên cứu zLabs của Zimperium, từ tháng 4/2024 đến nay, hơn 760 ứng dụng độc hại đã bị phát hiện. Các ứng dụng này lợi dụng Giao tiếp tầm ngắn (NFC) và Mô phỏng thẻ chủ (HCE) của Android để đánh cắp dữ liệu thanh toán theo thời gian thực, biến điện thoại bị nhiễm thành thẻ thanh toán ảo trong tay tội phạm mạng.
Những phần mềm giả mạo này thường sao chép giao diện của các ứng dụng ngân hàng hoặc cơ quan chính phủ, bao gồm Google Pay, VTB Bank, Santander hay Cổng dịch vụ công Nga (Gosuslugi). Chúng yêu cầu người dùng đặt làm phương thức thanh toán mặc định, rồi âm thầm chuyển dữ liệu thẻ (số, ngày hết hạn, dữ liệu EMV) đến máy chủ điều khiển từ xa.
Báo cáo “Tap-and-Steal: Sự gia tăng của phần mềm độc hại NFC Relay trên thiết bị di động” của Zimperium cho thấy, hình thức tấn công này đã lan rộng tại Nga, Ba Lan, Cộng hòa Séc, Slovakia, Brazil và nhiều quốc gia khác.
Zimperium phát hiện mạng lưới này liên quan đến hơn 70 máy chủ điều khiển và nhiều bot Telegram, nơi tội phạm mạng phối hợp chuyển tiếp dữ liệu và hoàn tất giao dịch. Cụ thể, một thiết bị bị nhiễm sẽ thu thập dữ liệu thanh toán, sau đó truyền tới thiết bị khác để thực hiện giao dịch NFC hợp pháp giả mạo tại máy POS vật lý.
Khác với các trojan ngân hàng truyền thống vốn chỉ chặn tin nhắn SMS hoặc hiển thị lớp phủ, phần mềm độc hại NFC Relay khai thác trực tiếp cơ chế thanh toán HCE của Android, khiến nhiều biện pháp bảo mật cũ không còn hiệu quả.
Zimperium cho biết, hệ thống Mobile Threat Defense (MTD) và zDefend của họ đã phát hiện và chặn nhiều chiến dịch tấn công dạng này. Tuy nhiên, công ty cảnh báo rằng cần siết chặt quyền truy cập NFC và đặc quyền thanh toán trên Android để ngăn chặn các vụ việc tương tự.
Người dùng được khuyến nghị:
Chỉ tải ứng dụng từ Google Play, tránh cài đặt từ nguồn bên thứ ba.
Cập nhật phần mềm bảo mật di động thường xuyên.
Không cấp quyền thanh toán cho các ứng dụng không rõ nguồn gốc.
Cảnh giác với yêu cầu cài đặt hoặc cập nhật liên quan đến ví điện tử.
Zimperium nhấn mạnh, việc nâng cao nhận thức và thận trọng khi sử dụng tính năng thanh toán không chạm là bước phòng thủ hiệu quả nhất trước khi các giải pháp bảo mật hệ thống được cập nhật.
hackread.com
Hàng trăm ứng dụng giả mạo ngân hàng để đánh cắp dữ liệu thẻ
Theo nhóm nghiên cứu zLabs của Zimperium, từ tháng 4/2024 đến nay, hơn 760 ứng dụng độc hại đã bị phát hiện. Các ứng dụng này lợi dụng Giao tiếp tầm ngắn (NFC) và Mô phỏng thẻ chủ (HCE) của Android để đánh cắp dữ liệu thanh toán theo thời gian thực, biến điện thoại bị nhiễm thành thẻ thanh toán ảo trong tay tội phạm mạng.
Những phần mềm giả mạo này thường sao chép giao diện của các ứng dụng ngân hàng hoặc cơ quan chính phủ, bao gồm Google Pay, VTB Bank, Santander hay Cổng dịch vụ công Nga (Gosuslugi). Chúng yêu cầu người dùng đặt làm phương thức thanh toán mặc định, rồi âm thầm chuyển dữ liệu thẻ (số, ngày hết hạn, dữ liệu EMV) đến máy chủ điều khiển từ xa.
Báo cáo “Tap-and-Steal: Sự gia tăng của phần mềm độc hại NFC Relay trên thiết bị di động” của Zimperium cho thấy, hình thức tấn công này đã lan rộng tại Nga, Ba Lan, Cộng hòa Séc, Slovakia, Brazil và nhiều quốc gia khác.
Tội phạm mạng phối hợp qua Telegram để thực hiện giao dịch gian lận
Zimperium phát hiện mạng lưới này liên quan đến hơn 70 máy chủ điều khiển và nhiều bot Telegram, nơi tội phạm mạng phối hợp chuyển tiếp dữ liệu và hoàn tất giao dịch. Cụ thể, một thiết bị bị nhiễm sẽ thu thập dữ liệu thanh toán, sau đó truyền tới thiết bị khác để thực hiện giao dịch NFC hợp pháp giả mạo tại máy POS vật lý.
Khác với các trojan ngân hàng truyền thống vốn chỉ chặn tin nhắn SMS hoặc hiển thị lớp phủ, phần mềm độc hại NFC Relay khai thác trực tiếp cơ chế thanh toán HCE của Android, khiến nhiều biện pháp bảo mật cũ không còn hiệu quả.
Zimperium cho biết, hệ thống Mobile Threat Defense (MTD) và zDefend của họ đã phát hiện và chặn nhiều chiến dịch tấn công dạng này. Tuy nhiên, công ty cảnh báo rằng cần siết chặt quyền truy cập NFC và đặc quyền thanh toán trên Android để ngăn chặn các vụ việc tương tự.
Cách bảo vệ người dùng Android
Người dùng được khuyến nghị:
Chỉ tải ứng dụng từ Google Play, tránh cài đặt từ nguồn bên thứ ba.
Cập nhật phần mềm bảo mật di động thường xuyên.
Không cấp quyền thanh toán cho các ứng dụng không rõ nguồn gốc.
Cảnh giác với yêu cầu cài đặt hoặc cập nhật liên quan đến ví điện tử.
Zimperium nhấn mạnh, việc nâng cao nhận thức và thận trọng khi sử dụng tính năng thanh toán không chạm là bước phòng thủ hiệu quả nhất trước khi các giải pháp bảo mật hệ thống được cập nhật.
Hackers Use NFC Relay Malware to Clone Tap-to-Pay Android Transactions
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
