Mã độc mới OctoV2 có thể chiếm quyền kiểm soát điện thoại và tài khoản ngân hàng

Ngân hàng Kienlongbank thông tin trong thời gian gần đây, hàng loạt người dùng thiết bị điện tử hệ điều hành Android đã trở thành mục tiêu của các chiến dịch phát tán mã độc tinh vi. Kẻ gian lợi dụng các chiêu trò đánh lừa như ứng dụng giả mạo, trình cập nhật hệ thống giả, hoặc các công cụ "hỗ trợ" thiết bị để dụ người dùng tự tay tải về những phần mềm độc hại.

Loại mã độc mới OctoV2 (thuộc dòng Trojan Banking) ngụy trang thành ứng dụng chatbot AI Deepseek, lừa người dùng tải xuống tập tin độc hại từ trang web giả mạo. Khi đã được cài đặt, các mã độc này có thể âm thầm truy cập vào danh bạ, tin nhắn, chiếm đoạt tài khoản ngân hàng, mạng xã hội hoặc đánh cắp thông tin nhạy cảm của người dùng.

Để phòng tránh xâm nhập, bảo vệ tài khoản ngân hàng và dữ liệu cá nhân, KienlongBank khuyến cáo khách hàng nâng cao cảnh giác với những ứng dụng, phần mềm không rõ nguồn gốc, xác thực. Không tải ứng dụng từ các trang web không chính thức, tránh các liên kết không xác minh.

Mã độc mới OctoV2 (thuộc dòng Trojan Banking) ngụy trang thành ứng dụng chatbot AI Deepseek để lừa người dùng nên cẩn trọng. Ảnh minh họa

Người dùng tuyệt đối không cài đặt ứng dụng từ các nguồn thiếu tin cậy. Bật tính năng bảo vệ của Google Play Protect. Đồng thời kiểm tra kỹ cài đặt trợ năng để ngăn chặn các ứng dụng yêu cầu quyền trái phép. Cài đặt phần mềm diệt virus để phát hiện và chặn các tệp, ứng dụng độc hại. Cẩn thận với các ứng dụng giả mạo, đặc biệt là những ứng dụng yêu cầu quyền truy cập cao.

Nếu phát hiện bất kỳ dấu hiệu bất thường nào trên thiết bị, hoặc nghi ngờ tài khoản ngân hàng có thể đã bị xâm nhập, Kienlongbank khuyến cáo khách hàng ngay lập tức thay đổi mật khẩu các ứng dụng ngân hàng điện tử, nhanh chóng thông báo tới KienlongBank để được hỗ trợ kịp thời, đồng thời liên hệ cơ quan công an gần nhất.

Theo các chuyên gia bảo mật, trước đó vào năm 2019 mã độc Octo trên Android nhắm tới các mục tiêu là ngân hàng, được cho là một trong những biến thể của một phần mềm độc hại trên Android khác có tên là Exobot Compact khi tấn công các ngân hàng ở Mỹ La-tinh.

Một biến thể khác của Exobot Compact là Coper được phát hiện vào khoảng tháng 7/2021 ở Colombia, sau đó lan rộng ra các quốc gia ở châu Âu. Loại phần mềm độc hại này thường được biết đến với việc mạo danh các ứng dụng tổ chức tài chính có tên Bancolombia Personas. Các phiên bản mới hơn của phần mềm độc hại Coper cũng bắt đầu sử dụng các ứng dụng tiện ích mạo danh.

Giống như các mã độc trojan trên Android nhắm mục tiêu vào các ngân hàng, trojan Octo hay Coper thực thi dựa trên trình thả Dropper – một chương trình hoặc một tập tin được sử dụng để cài đặt các rootkit trên thiết bị mục tiêu. 

Octo là phiên bản nâng cấp của ExobotCompact, được cài đặt để thực hiện gian lận trên thiết bị bằng cách giành quyền điều khiển từ xa đối với các thiết bị di động thông qua tận dụng quyền trợ năng cũng như API MediaProjection của Android để ghi lại nội dung màn hình cũng như có khả năng chia sẻ màn hình ứng dụng trong thời gian thực.

Theo công ty bảo mật ThreatFnai của Hà Lan cho biết, mục tiêu cuối cùng của mã độc trojan Octo là kích hoạt tự động thực hiện các giao dịch gian lận và cung cấp khả năng ủy quyền thực thi mà không cần thông qua tổ chức, do đó cho phép gian lận trên quy mô lớn. Các tính năng đáng chú ý khác của Octo bao gồm: khả năng lưu lại các lần gõ phím, khả năng thực hiện các cuộc tấn công lớp phủ (overlay attack) vào các ứng dụng ngân hàng để đánh cắp thông tin xác thực, thông tin giao dịch, cũng như cung cấp các biện pháp thích ứng nhằm ngăn chặn việc gỡ cài đặt ứng dụng và lẩn tránh trước các công cụ diệt virus.

An Dương (T/h)