mihphg
Huỳnh Minh Phương
Theo các nhà nghiên cứu bảo mật tại Zimperium, hiện có khoảng 10 phần mềm độc hại nhắm mục tiêu vào 639 ứng dụng trên Google Play.
Sau khi lây nhiễm vào thiết bị, phần mềm độc hại sẽ tạo một lớp phủ đăng nhập trên bề mặt các ứng dụng ngân hàng (hoặc tài chính) để lấy cắp thông tin tài khoản, theo dõi thông báo, đánh cắp OTP và thậm chí thực hiện hành vi gian lận tài chính bằng cách lạm dụng Accessibility services (dịch vụ trợ năng).
Phát hiện này rất đáng lo ngại, vì theo các cuộc khảo sát vào năm 2021, 3 trong số 4 người ở Mỹ cho biết họ thường sử dụng ứng dụng ngân hàng để thực hiện các giao dịch hàng ngày.
Nhiều ứng dụng ngân hàng bị nhắm mục tiêu bởi phần mềm độc hại.
Mỹ là quốc gia bị nhắm mục tiêu nhiều nhất với 121 ứng dụng, theo sau đó là Vương quốc Anh với 55 ứng dụng, Ý 43 ứng dụng, Thổ Nhĩ Kỳ 34 ứng dụng, Úc 33 ứng dụng và Pháp là 31 ứng dụng.
Phần mềm độc hại nhắm mục tiêu vào nhiều ứng dụng nhất là Teabot, bao gồm 410 trong số 639 ứng dụng, Exobot cũng không kém cạnh khi nhắm mục tiêu vào 324 ứng dụng.
Binance, ứng dụng trao đổi tiền điện tử phổ biến, có 50 triệu lượt tải xuống. Cash App, một dịch vụ thanh toán di động phủ sóng ở Mỹ và Vương quốc Anh, cũng có 50 triệu lượt cài đặt trên Google Play. Cả hai đều là mục tiêu của phần mềm độc hại, ngay cả khi chúng không cung cấp các dịch vụ ngân hàng thông thường.
Ứng dụng được nhắm mục tiêu rộng rãi nhất là BBVA, một cổng ngân hàng trực tuyến toàn cầu với hàng chục triệu lượt tải xuống. Ứng dụng này được nhắm mục tiêu bởi 7 trong số 10 phần mềm độc hại hoạt động tích cực nhất.
10 phần mềm độc hại nhắm mục tiêu vào các ứng dụng ngân hàng
- BianLian: Nhắm mục tiêu vào Binance, BBVA và một loạt các ứng dụng tại Thổ Nhĩ Kỳ. Phiên bản mới của phần mềm độc hại được phát hiện vào tháng 4 năm 2022 có khả năng bỏ qua photoTAN, một phương pháp xác thực mạnh trong ngân hàng trực tuyến.
- Cabassous: Nhắm mục tiêu vào Barclays, CommBank, Halifax, Lloys và Santander. Sử dụng thuật toán tạo miền (DGA) để tránh bị phát hiện và gỡ xuống.
- Coper: Nhắm mục tiêu vào BBVA, Caixa Bank, CommBank và Santander. Phần mềm độc hại có khả năng tự sửa đổi để thoát khỏi các hạn chế trên điện thoại.
- EventBot: Nhắm mục tiêu vào Barclays, Intensa, BancoPosta và nhiều ứng dụng khác tại Ý. Phần mềm độc hại ẩn bên trong các tệp tài liệu hoặc Adobe Flash và có thể tải xuống các module bổ sung từ xa.
- Exobot: Nhắm mục tiêu vào PayPal, Binance, Cash App, Barclays, BBVA và CaixaBank. Phần mềm độc hại này rất nhỏ và nhẹ vì nó sử dụng các thư viện hệ thống được chia sẻ và chỉ tìm nạp các lớp phủ từ máy chủ khi cần thiết.
- FluBot: Nhắm mục tiêu vào BBVA, Caixa, Santander và nhiều ứng dụng tiếng Tây Ban Nha khác. Phần mềm độc hại này nổi tiếng với khả năng phát tán nhanh chóng bằng cách sử dụng SMS và danh sách liên hệ của các thiết bị bị xâm phạm.
- Medusa: Nhắm mục tiêu vào BBVA, CaixaBank, Ziraat và một loạt các ứng dụng ngân hàng Thổ Nhĩ Kỳ. Nó có thể thực hiện hành vi gian lận trên thiết bị bằng cách lạm dụng dịch vụ trợ năng.
- Sharkbot: Nhắm mục tiêu vào Binance, BBVA và Coinbase. Phần mềm độc hại có khả năng tránh phát hiện và chống xóa, cũng như mã hóa giao tiếp với máy chủ điều khiển.
- Teabot: Nhắm mục tiêu vào PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile và Coinbase. Phần mềm độc hại được trang bị một keylogger đặc biệt cho mỗi ứng dụng, ghi lại các thao tác của người dùng.
- Xenomorph: Nhắm mục tiêu vào BBVA và các ứng dụng ngân hàng khác nhau của Liên minh Châu Âu.
Để hạn chế bị tấn công và mất tiền trong tài khoản ngân hàng, bạn hãy cập nhật thiết bị và chỉ cài đặt ứng dụng trên Google Play, đồng thời đọc kĩ phần đánh giá của người dùng.
Sau khi lây nhiễm vào thiết bị, phần mềm độc hại sẽ tạo một lớp phủ đăng nhập trên bề mặt các ứng dụng ngân hàng (hoặc tài chính) để lấy cắp thông tin tài khoản, theo dõi thông báo, đánh cắp OTP và thậm chí thực hiện hành vi gian lận tài chính bằng cách lạm dụng Accessibility services (dịch vụ trợ năng).
Phát hiện này rất đáng lo ngại, vì theo các cuộc khảo sát vào năm 2021, 3 trong số 4 người ở Mỹ cho biết họ thường sử dụng ứng dụng ngân hàng để thực hiện các giao dịch hàng ngày.
Nhiều ứng dụng ngân hàng bị nhắm mục tiêu bởi phần mềm độc hại.
Mỹ là quốc gia bị nhắm mục tiêu nhiều nhất với 121 ứng dụng, theo sau đó là Vương quốc Anh với 55 ứng dụng, Ý 43 ứng dụng, Thổ Nhĩ Kỳ 34 ứng dụng, Úc 33 ứng dụng và Pháp là 31 ứng dụng.
Phần mềm độc hại nhắm mục tiêu vào nhiều ứng dụng nhất là Teabot, bao gồm 410 trong số 639 ứng dụng, Exobot cũng không kém cạnh khi nhắm mục tiêu vào 324 ứng dụng.
Binance, ứng dụng trao đổi tiền điện tử phổ biến, có 50 triệu lượt tải xuống. Cash App, một dịch vụ thanh toán di động phủ sóng ở Mỹ và Vương quốc Anh, cũng có 50 triệu lượt cài đặt trên Google Play. Cả hai đều là mục tiêu của phần mềm độc hại, ngay cả khi chúng không cung cấp các dịch vụ ngân hàng thông thường.
Ứng dụng được nhắm mục tiêu rộng rãi nhất là BBVA, một cổng ngân hàng trực tuyến toàn cầu với hàng chục triệu lượt tải xuống. Ứng dụng này được nhắm mục tiêu bởi 7 trong số 10 phần mềm độc hại hoạt động tích cực nhất.
10 phần mềm độc hại nhắm mục tiêu vào các ứng dụng ngân hàng
- BianLian: Nhắm mục tiêu vào Binance, BBVA và một loạt các ứng dụng tại Thổ Nhĩ Kỳ. Phiên bản mới của phần mềm độc hại được phát hiện vào tháng 4 năm 2022 có khả năng bỏ qua photoTAN, một phương pháp xác thực mạnh trong ngân hàng trực tuyến.
- Cabassous: Nhắm mục tiêu vào Barclays, CommBank, Halifax, Lloys và Santander. Sử dụng thuật toán tạo miền (DGA) để tránh bị phát hiện và gỡ xuống.
- Coper: Nhắm mục tiêu vào BBVA, Caixa Bank, CommBank và Santander. Phần mềm độc hại có khả năng tự sửa đổi để thoát khỏi các hạn chế trên điện thoại.
- EventBot: Nhắm mục tiêu vào Barclays, Intensa, BancoPosta và nhiều ứng dụng khác tại Ý. Phần mềm độc hại ẩn bên trong các tệp tài liệu hoặc Adobe Flash và có thể tải xuống các module bổ sung từ xa.
- Exobot: Nhắm mục tiêu vào PayPal, Binance, Cash App, Barclays, BBVA và CaixaBank. Phần mềm độc hại này rất nhỏ và nhẹ vì nó sử dụng các thư viện hệ thống được chia sẻ và chỉ tìm nạp các lớp phủ từ máy chủ khi cần thiết.
- FluBot: Nhắm mục tiêu vào BBVA, Caixa, Santander và nhiều ứng dụng tiếng Tây Ban Nha khác. Phần mềm độc hại này nổi tiếng với khả năng phát tán nhanh chóng bằng cách sử dụng SMS và danh sách liên hệ của các thiết bị bị xâm phạm.
- Medusa: Nhắm mục tiêu vào BBVA, CaixaBank, Ziraat và một loạt các ứng dụng ngân hàng Thổ Nhĩ Kỳ. Nó có thể thực hiện hành vi gian lận trên thiết bị bằng cách lạm dụng dịch vụ trợ năng.
- Sharkbot: Nhắm mục tiêu vào Binance, BBVA và Coinbase. Phần mềm độc hại có khả năng tránh phát hiện và chống xóa, cũng như mã hóa giao tiếp với máy chủ điều khiển.
- Teabot: Nhắm mục tiêu vào PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile và Coinbase. Phần mềm độc hại được trang bị một keylogger đặc biệt cho mỗi ứng dụng, ghi lại các thao tác của người dùng.
- Xenomorph: Nhắm mục tiêu vào BBVA và các ứng dụng ngân hàng khác nhau của Liên minh Châu Âu.
Để hạn chế bị tấn công và mất tiền trong tài khoản ngân hàng, bạn hãy cập nhật thiết bị và chỉ cài đặt ứng dụng trên Google Play, đồng thời đọc kĩ phần đánh giá của người dùng.