Cảnh báo: Phần mềm nghe lén SpyNote chỉ được gỡ bằng cách khôi phục cài đặt gốc
Cảnh báo: Không nên tương tác trên cửa sổ pop-up để tránh nguy cơ bị mã độc tấn công
Mã độc phát tán qua Facebook Messenger nguy hiểm thế nào?
Cảnh báo mã độc đang hoành hành trên những thiết bị chạy iOS 16.6
Theo công ty an ninh mạng Cleafy của Ý, một chiến dịch sử dụng SpyNote đã được phát hiện, nhắm mục tiêu vào các tổ chức tài chính ở châu Âu từ tháng 6.2023. Phương thức hoạt động của SpyNote cũng giống với các phần mềm gián điệp ngân hàng khác. Bằng cách yêu cầu người dùng cho phép quyền truy cập vào các dịch vụ trợ năng, từ đó trích xuất mã xác thực hai yếu tố (2FA). Các mã này được sử dụng như một lớp bảo mật bổ sung để truy cập tài khoản và thường được yêu cầu để đăng nhập vào các trang web, ứng dụng và các dịch vụ khác. Bằng cách khai thác các tính năng hỗ trợ của ứng dụng Google Authenticator, SpyNote có thể vượt qua các lớp bảo mật này và giành quyền truy cập vào tài khoản mà người dùng không hề hay biết.
Các chuyên gia bảo mật đến từ F-Secure cho biết, SpyNote (còn có tên SpyMax) thường lây lan qua những chiến dịch lừa đảo từ SMS, lừa nạn nhân cài đặt ứng dụng bằng cách nhấp vào liên kết được nhúng mã độc. Ngoài việc yêu cầu quyền truy cập nhật ký cuộc gọi, camera, tin nhắn SMS và bộ nhớ ngoài, phần mềm độc hại SpyNote còn có khả năng ‘ẩn mình’ khỏi giao diện chính của điện thoại để tránh bị phát hiện.
Ngoài ra SpyNote còn tích hợp các chức năng để đánh cắp mật khẩu Facebook và Gmail cũng như chụp nội dung màn hình bằng cách lạm dụng API MediaProjection của Android. Phần mềm gián điệp này cũng có khả năng hoạt động như một kẻ đánh cắp thông tin đăng nhập trên các ứng dụng xã hội. SpyNote đánh lừa người dùng nhập thông tin đăng nhập cá nhân của họ, bằng cách thiết kế một trang web có bố cục tùy chỉnh giống như với các giao diện của Gmail và Facebook, tương tự như một cuộc tấn công lớp phủ truyền thống được sử dụng để hiển thị cho nạn nhân thông tin đăng nhập giả mạo trang cho ứng dụng ngân hàng của họ.
Theo đó nhà nghiên cứu Amit Tambe (F-Secure) cho biết, phần mềm độc hại có thể được khởi chạy thông qua một trình kích hoạt bên ngoài.
Điểm quan trọng là SpyNote tìm kiếm các quyền truy cập, sau đó tận dụng chúng để tự cấp các quyền bổ sung nhằm ghi lại âm thanh và cuộc gọi điện thoại, các lần nhấn phím cũng như chụp ảnh màn hình điện thoại. Phân tích sâu hơn, các nhà nghiên cứu cho biết SpyNote có chứa chức năng chống lại các nỗ lực nhằm gỡ cài đặt ứng dụng độc hại này.
Cụ thể, khi bạn truy cập vào Settings (cài đặt) - Apps (ứng dụng) để gỡ ứng dụng, SpyNote sẽ ngăn chặn việc này bằng cách đóng màn hình menu. Phần mềm gián điệp đã lạm dụng quyền BIND_ACCESSIBILITY_SERVICE để thực hiện điều này. Vì vậy để gỡ ứng dụng độc hại này ra khỏi thiết bị chỉ còn cách khôi phục cài đặt gốc điện thoại, đồng nghĩa thiết bị sẽ mất dữ liệu trước đó. Thiết bị khi bị nhiễm mã độc nên sao lưu những tư liệu quan trọng sau đó khôi phục cài đặt gốc để bảo vệ thông tin cá nhân, an toàn dữ liệu.
Duy Trinh (t/h)