Trojan ngân hàng nguy hiểm mới lan khắp Đông Nam Á - Android của bạn có thể đã bị nhiễm

[MinhSec]

Các nhà nghiên cứu bảo mật vừa phát hiện một biến thể Trojan ngân hàng Android mới, được đặt tên Android/BankBot-YNRK, có “khả năng cao” đang nhắm vào người dùng Android tại Indonesia và có thể lan rộng sang các nước Đông Nam Á khác. Phần mềm độc hại này lợi dụng các tính năng trợ năng trên Android để chiếm quyền điều khiển thiết bị, chặn tin nhắn SMS và đánh cắp thông tin nhạy cảm như mật khẩu, khóa ví tiền điện tử và dữ liệu cá nhân.

Cách hoạt động và kỹ thuật che giấu​

Android/BankBot-YNRK được phát hiện ẩn mình bên trong các phiên bản giả mạo của “Identitas Kependudukan Digital” bản kỹ thuật số của thẻ căn cước công dân Indonesia trông rất giống ứng dụng hợp pháp. Dữ liệu phân tích cho thấy mã độc chủ yếu nhắm tới thiết bị chạy Android 13 trở về trước, vì trên các phiên bản này kẻ tấn công có thể lợi dụng tính năng trợ năng để bỏ qua một số cơ chế cấp quyền. Trên Android 14, hành vi này đã bị siết chặt hơn và người dùng phải cấp quyền trực tiếp qua giao diện hệ thống.

Trước khi thực hiện hành vi độc hại, Trojan sẽ kiểm tra xem nó có đang chạy trên thiết bị vật lý hay môi trường giả lập; chỉ khi xác nhận là thiết bị thật thì nó mới kích hoạt. Nó còn phân loại nhà sản xuất và mẫu máy để tối ưu hóa chức năng tập trung vào những model mục tiêu như Google Pixel và Samsung, đồng thời bỏ qua các mẫu khác. Một số thủ thuật che giấu khác gồm: đổi tên và biểu tượng ứng dụng (ví dụ giả làm Google News), tải trang google.com trong WebView để đánh lừa người dùng, lên lịch tác vụ qua JobScheduler để tồn tại sau khởi động lại, và ẩn hoạt động khỏi người dùng bằng cách tắt mọi cảnh báo âm thanh (cuộc gọi, thông báo, SMS).

Hậu quả: từ chụp màn hình tới đánh cắp ví tiền điện tử​

Sau khi lừa người dùng cấp quyền trợ năng thường bằng lớp phủ toàn màn hình giả mạo lời nhắc “Xác minh Thông tin Cá nhân” Trojan tự động hóa các tương tác trên giao diện người dùng để trích xuất dữ liệu. Một tính năng đáng lo ngại là khả năng chụp ảnh màn hình theo thời gian thực để tạo “bản đồ” bố cục ứng dụng ngân hàng hoặc ví điện tử (vị trí ô mật khẩu, nút xác nhận…). Từ đó phần mềm độc hại có thể nhập liệu tự động, đánh cắp thông tin đăng nhập, thực hiện giao dịch gian lận và thậm chí tương tác trực tiếp với ứng dụng ví để lấy cụm seed, khóa riêng tư hoặc chặn xác nhận giao dịch.

Cyfirma còn phát hiện mã độc nhắm tới nhiều ví và tiền mã hóa phổ biến như Bitcoin, Ethereum, Litecoin và Solana phù hợp với xu hướng gia tăng các Trojan Android nhắm vào ví tiền điện tử. Các nhà nghiên cứu an ninh khác cũng ghi nhận sự bùng nổ trong 2024 của mã độc Android với chức năng tiên tiến: ghi lại bàn phím, HVNC (mạng ảo ẩn), điều khiển từ xa và khai thác NFC. Mã nguồn rò rỉ và bộ công cụ phân phối (dropper) như TiramisuDropper hay Brokewell loader càng làm giảm rào cản cho tội phạm mạng

Kết luận phòng ngừa những gì?​

• Không cài APK từ nguồn không rõ: mã độc thường ngụy trang thành ứng dụng chính phủ hoặc dịch vụ phổ biến, yêu cầu cài thủ công từ nguồn ngoài chợ ứng dụng.
• Cập nhật lên Android 14 trở lên nếu có thể: phiên bản hệ điều hành mới siết chặt cơ chế cấp quyền trợ năng.
• Cẩn trọng với lớp phủ và yêu cầu quyền lạ: nếu một ứng dụng yêu cầu cấp quyền trợ năng hoặc hiển thị lớp phủ toàn màn hình để “xác minh”, hãy dừng lại và kiểm tra.
• Sử dụng phần mềm bảo mật uy tín và sao lưu các khóa/seed của ví ở nơi an toàn, không lưu trực tiếp trên thiết bị.

https://www.darkreading.com/vulnerabilities-threats/android-malware-mutes-alerts-drains-crypto-wallets

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview