Cảnh báo: Trojan giả mạo Google Play tấn công 750 ứng dụng ngân hàng, mua sắm

Theo công ty an ninh mạng Cyble, mối đe dọa này xuất hiện chỉ vài ngày sau khi Tập đoàn Google cảnh báo rằng các ứng dụng cài đặt ngoài Play Store có nguy cơ nhiễm malware (phần mềm mã độc) cao gấp 50 lần. Đáng lo ngại hơn, trojan này được phân phối dưới vỏ bọc “Google Play Services” – một dịch vụ quen thuộc, khiến người dùng mất cảnh giác. Ứng dụng yêu cầu cập nhật cài đặt Play, điều mà Google đã nhiều lần cảnh báo là nguy hiểm.

Trojan này, được đặt tên là TsarBot, có khả năng kiểm soát từ xa thiết bị Android. Nó không chỉ giả mạo màn hình đăng nhập mà còn có thể thực hiện các thao tác như vuốt, chạm, nhập dữ liệu, đồng thời che giấu hoạt động xấu bằng một màn hình đen. Nguy hiểm hơn, TsarBot có thể thu thập mật khẩu mở khóa thiết bị bằng cách hiển thị màn hình khóa giả, cho phép kẻ tấn công chiếm toàn quyền kiểm soát điện thoại.

Không nhấp vào 'OK' để cập nhật ứng dụng Dịch vụ Google Play này. Ảnh: Cyble

Một trong những chức năng đáng sợ nhất của TsarBot là khả năng vượt qua bảo mật hai lớp (2FA) – lớp phòng vệ quan trọng của các ứng dụng ngân hàng và tài chính. Nó thực hiện điều này thông qua các phương pháp ghi lại thao tác bàn phím, chặn tin nhắn SMS và giả mạo màn hình khóa.

Cuộc tấn công thường bắt đầu từ một trang web lừa đảo. Cyble đã phát hiện một phiên bản giả mạo của một nền tảng giao dịch token, nhưng thủ đoạn này có thể áp dụng với bất kỳ trang web nào. Khi người dùng tải về ứng dụng từ trang web giả mạo, một phần mềm “dropper” sẽ lưu trữ tập tin cài đặt của TsarBot và âm thầm cài đặt nó lên thiết bị.

Ví dụ về màn hình tấn công lớp phủ cho các ứng dụng phổ biến. Ảnh: Cyble

Sau khi cài đặt, trojan này ngụy trang thành ứng dụng Google Play Services, ẩn biểu tượng khỏi màn hình chính và hiển thị một trang cập nhật giả, yêu cầu người dùng bật Accessibility Services. Nếu nhấn “OK”, người dùng sẽ vô tình cấp quyền kiểm soát hoàn toàn cho TsarBot.

Cyble cảnh báo: “TsarBot là minh chứng cho mối đe dọa dai dẳng từ phần mềm độc hại ngân hàng. Người dùng cần cẩn trọng khi cài đặt ứng dụng, tránh nguồn không đáng tin cậy và cảnh giác với các trang web lừa đảo.”

Để bảo vệ thiết bị khỏi phần mềm độc hại này, hãy tuân thủ các nguyên tắc sau: Không cài đặt ứng dụng ngoài Play Store hoặc các cửa hàng ứng dụng chính thức của Android; Luôn bật Play Protect để quét và phát hiện các ứng dụng độc hại; Không tắt hoặc tạm dừng bảo vệ vì bất kỳ lý do gì trừ khi bạn chắc chắn 100% về độ an toàn của ứng dụng; Không bật Accessibility Services cho các ứng dụng không thực sự cần quyền kiểm soát thiết bị.

Nếu nhận được yêu cầu cập nhật “Google Play Services” từ một ứng dụng đáng ngờ, tuyệt đối không nhấn 'OK'. Đây có thể là bẫy của tin tặc.

Duy Trinh (theo Forbes)