Các ứng dụng Android độc hại đang mạo danh ngân hàng và cơ quan chính phủ để lừa người dùng cài đặt

Người dùng Android ở Ấn Độ đang bị nhắm mục tiêu trong một chiến dịch phần mềm độc hại mới sử dụng social engineering để lừa họ cài đặt các ứng dụng giả mạo có khả năng thu thập dữ liệu nhạy cảm.

Các nhà nghiên cứu của Microsoft cho biết rằng: “Những kẻ tấn công đã gửi tin nhắn thông qua các nền tảng truyền thông xã hội như WhatsApp và Telegram để lừa người dùng cài đặt một ứng dụng độc hại trên thiết bị di động của họ bằng cách mạo danh các tổ chức hợp pháp như ngân hàng, tổ chức chính phủ…”.

Mục tiêu cuối cùng của hoạt động này là đánh cắp thông tin chi tiết về ngân hàng, thông tin thẻ thanh toán, thông tin xác thực tài khoản và dữ liệu cá nhân khác.

Chuỗi tấn công liên quan đến việc chia sẻ các tệp APK độc hại, thông qua tin nhắn mạng xã hội, được thiết kế để trông giống như một ứng dụng ngân hàng và gây ra cảm giác cấp bách bằng cách thông báo tài khoản ngân hàng của mục tiêu sẽ bị chặn trừ khi họ cập nhật số tài khoản PAN do Cục Thuế Ấn Độ cấp trên ứng dụng giả mạo.

Sau khi được cài đặt, ứng dụng sẽ yêu cầu nạn nhân nhập thông tin tài khoản ngân hàng, mã PIN thẻ ghi nợ (debit card), số thẻ PAN và thông tin xác thực ngân hàng trực tuyến, sau đó gửi các thông tin này đến máy chủ điều khiển tấn công (C2) do tác nhân đe dọa kiểm soát.

Các nhà nghiên cứu cho biết: “Sau khi tất cả các thông tin trên được gửi, một thông báo đáng ngờ sẽ xuất hiện cho biết các thông tin đó đang được xác minh”.

"Người dùng được nhắc chờ đợi 30 phút và không được xóa hay gỡ cài đặt ứng dụng. Ngoài ra, ứng dụng có thể tự ẩn biểu tượng khiến nó biến mất khỏi màn hình chính trên thiết bị của người dùng trong khi vẫn chạy ở chế độ nền."

Một khía cạnh đáng chú ý khác là phần mềm độc hại yêu cầu người dùng cấp cho nó quyền đọc và gửi tin nhắn SMS, từ đó cho phép nó chặn bắt mật khẩu một lần (OTP) và gửi tin nhắn của nạn nhân đến số điện thoại của kẻ đe dọa qua SMS.

Các biến thể của trojan ngân hàng do Microsoft phát hiện cũng có chức năng đánh cắp thông tin thẻ tín dụng, thông tin định danh cá nhân (PII) và tin nhắn SMS gửi đến.

Tuy nhiên, để các cuộc tấn công thành công, người dùng sẽ phải kích hoạt tùy chọn cài đặt ứng dụng từ các nguồn không xác định bên ngoài Google Play Store.

Các nhà nghiên cứu cho biết: “Việc lây nhiễm trojan ngân hàng có thể gây ra rủi ro đáng kể cho thông tin cá nhân, quyền riêng tư, tính toàn vẹn của thiết bị và bảo mật tài chính của người dùng”. “Các phần mềm độc hại này thường ngụy trang thành các ứng dụng hợp pháp và triển khai các chiến thuật lừa đảo social engineering để đạt được mục tiêu cũng như đánh cắp dữ liệu nhạy cảm và tài sản tài chính của người dùng.”

Trước sự tấn công dữ dội của các phần mềm độc hại Android, Google đã ra mắt các tính năng bảo mật mới như real-time code-level scanning cho các ứng dụng chưa được scan trước đó. Google cũng triển khai các cài đặt hạn chế (restricted settings) với Android 13 để ngăn các ứng dụng giành được quyền truy cập vào các cài đặt quan trọng của thiết bị (như accessibility) trừ khi được người dùng kích hoạt rõ ràng.

Không chỉ Google, vào cuối tháng 10 năm 2023, Samsung cũng đã giới thiệu một tùy chọn tự động chặn (Auto Blocker) mới giúp ngăn việc cài đặt ứng dụng từ các nguồn khác ngoài Cửa hàng Google Play và Galaxy Store, đồng thời chặn các lệnh độc hại cũng như các cài đặt phần mềm thông qua cổng USB.

Để giảm thiểu nguy cơ bị tấn công bởi các phần mềm độc hại, người dùng chỉ nên tải xuống và cài đặt ứng dụng từ những nguồn đáng tin cậy, lưu ý kiểm tra tính hợp pháp của nhà phát triển và xem xét kỹ lưỡng các đánh giá, bình luận về ứng dụng trước khi tải xuống cũng như kiểm tra các quyền mà ứng dụng yêu cầu trong khi cài đặt và sử dụng. Nếu phát hiện bất kỳ điểm đáng ngờ nào, tốt nhất bạn nên hủy/gỡ cài đặt ứng dụng đó ngay.

Nguồn: thehackernews.com.