Hơn 700 ứng dụng Android giả mạo đánh cắp dữ liệu và chiếm quyền thanh toán NFC

[Kaya]

Các nhà nghiên cứu bảo mật tại zLabs đã phát hiện một chiến dịch tấn công quy mô lớn nhắm vào hệ thống thanh toán di động qua NFC (Near Field Communication) trên Android. Hơn 760 ứng dụng độc hại đã được phát hiện, lợi dụng cơ chế HCE (Host Card Emulation – công nghệ cho phép điện thoại “giả lập” thẻ ngân hàng) để đánh cắp dữ liệu thẻ và thực hiện giao dịch gian lận.

Chiến dịch này, bắt đầu từ tháng 4/2024, đã nhanh chóng mở rộng từ những vụ nhỏ lẻ thành một mạng lưới tấn công toàn cầu, nhắm vào người dùng tại Nga, Ba Lan, Cộng hòa Séc, Slovakia và Brazil.

1. Mạo danh ngân hàng, đánh cắp niềm tin người dùng​

Những ứng dụng độc hại này giả dạng ứng dụng của các ngân hàng nổi tiếng như: VTB Bank, Tinkoff Bank, Promsvyazbank (Nga), Santander (Tây Ban Nha), PKO Bank Polski (Ba Lan), Bradesco (Brazil) và thậm chí cả Google Pay.

Khi cài đặt, người dùng thấy giao diện y hệt app chính chủ, thậm chí còn có logo, màu sắc và chức năng giống thật. Ứng dụng sẽ yêu cầu người dùng đặt làm phương thức thanh toán mặc định qua NFC, từ đó chiếm quyền xử lý giao dịch không tiếp xúc (contactless).

2. Cơ chế hoạt động: Khi thẻ của bạn bị “nhân bản ảo”​

Sau khi người dùng cấp quyền, ứng dụng độc hại đăng ký dịch vụ HostApduService – đây là thành phần cho phép xử lý dữ liệu khi điện thoại chạm vào máy POS.

Từ đó, mỗi khi người dùng “chạm để thanh toán”, ứng dụng sẽ chuyển luồng dữ liệu giao dịch (Application Protocol Data Units – APDU) đến máy chủ điều khiển (C2 server) của hacker. Hacker có thể giả lập phản hồi từ thẻ thật, cho phép hoàn tất giao dịch gian lận mà người dùng không hề hay biết. Ngoài ra, một số biến thể hoạt động theo mô hình “hai app song hành”:

• Một app dùng để quét, thu thập dữ liệu thẻ (số thẻ, ngày hết hạn, mã EMV).
• App còn lại kết nối với hệ thống POS để thực hiện giao dịch giả.

Dữ liệu bị đánh cắp được gửi qua Telegram bot hoặc kênh riêng, nơi hacker nhận được thông tin thẻ, số thiết bị, PIN và thậm chí cả tình trạng kết nối NFC theo thời gian thực.

3. Che giấu tinh vi: Khó bị phát hiện ngay cả bởi chuyên gia​

Để tránh bị phát hiện, nhóm tấn công dùng JSONPacker – một công cụ nén và làm rối mã độc, khiến các phần mềm diệt virus hoặc kỹ sư phân tích khó xem được nội dung thật của mã nguồn.

Các ứng dụng này cũng được ngụy trang bằng tên hợp pháp, thậm chí giả danh cổng dịch vụ công của Nga (Gosuslugi) hoặc cơ quan ngân hàng trung ương, khiến người dùng càng dễ sập bẫy.

Đây được xem là chiến dịch lừa đảo thanh toán qua NFC quy mô lớn nhất từng được ghi nhận. Với hơn 70 máy chủ điều khiển và hàng chục kênh Telegram, nhóm tấn công có khả năng điều phối, nhận dữ liệu và ra lệnh cập nhật cho các ứng dụng bị nhiễm.

​

Điều nguy hiểm là:

• Người dùng không cần làm gì – chỉ cần cài app, bật NFC và cho phép thanh toán là dữ liệu có thể bị đánh cắp.
• Các ngân hàng khó phát hiện giao dịch giả, vì về mặt kỹ thuật, chúng trông giống giao dịch thật từ thiết bị người dùng.
• Hệ sinh thái thanh toán di động Android đang trở thành mục tiêu ưu tiên của hacker, đặc biệt tại các quốc gia có lượng người dùng ngân hàng số cao.

Khuyến nghị bảo mật:

• Chỉ tải ứng dụng ngân hàng hoặc ví điện tử từ Google Play, không cài file APK ngoài.
• Không đặt bất kỳ app lạ nào làm phương thức thanh toán mặc định.
• Tắt NFC khi không dùng.
• Bật Google Play Protect và kiểm tra định kỳ các ứng dụng đã cài.
• Theo dõi sao kê ngân hàng thường xuyên để phát hiện giao dịch lạ.
• Khi nghi ngờ bị tấn công, khóa thẻ ngay và liên hệ với ngân hàng.

Nguy cơ này không chỉ nằm ở một vài quốc gia mà là một cảnh báo chung cho người dùng Android trên toàn cầu, công nghệ NFC tiện lợi nhưng cũng là “cửa hậu” nếu bị lợi dụng.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview