WuKong_top1
Writer
Chỉ là một ứng dụng đọc tài liệu trên Google Play, “StellarGrid” được giới thiệu giúp mở PDF và xem file ngoại tuyến nhanh chóng. Thế nhưng, đằng sau lớp vỏ vô hại ấy lại là một cái bẫy tinh vi. Các chuyên gia an ninh mạng phát hiện StellarGrid thực chất chứa mã độc nguy hiểm, âm thầm biến điện thoại Android của người dùng thành “cửa ngõ” phát tán mã độc Anatsa. Việc ứng dụng này vượt qua khâu kiểm duyệt của Google và đạt hơn 50.000 lượt tải cho thấy mức độ rủi ro không hề nhỏ, khi thông tin và tiền trong tài khoản ngân hàng của người dùng có thể bị đe dọa chỉ từ một cú chạm cài đặt.
Theo phân tích kỹ thuật, StellarGrid thực chất chỉ đóng vai trò “ứng dụng trung gian”. Sau khi được cài đặt, nó chưa bộc lộ hành vi nguy hiểm ngay mà âm thầm kết nối ra bên ngoài để tải và kích hoạt mã độc Anatsa về máy người dùng. Để qua mặt các hệ thống quét tự động, ứng dụng này sử dụng nhiều thủ thuật che giấu mã nguồn, phân tán chức năng nguy hiểm vào các thành phần khó phân tích, đồng thời chỉ kích hoạt khi xác định đang chạy trên thiết bị thật, không phải môi trường kiểm thử.
Mã độc Anatsa tấn công Google (Ảnh: Threatlabz)
Kiểu phát tán “núp bóng ứng dụng hợp pháp” này đang trở thành xu hướng của tội phạm mạng, nhằm vượt qua khâu kiểm duyệt ban đầu của kho ứng dụng. Nhờ vỏ bọc vô hại, các ứng dụng độc hại có thể tồn tại một thời gian dài trước khi bị phát hiện và gỡ bỏ. Với hàng chục nghìn lượt cài đặt, quy mô ảnh hưởng thực tế có thể lớn hơn nhiều so với con số hiển thị, trong đó không ít nạn nhân có nguy cơ bị đánh cắp thông tin tài chính mà không hề hay biết.
Anatsa là mã độc (trojan ngân hàng) hoạt động từ năm 2021, từng nhắm vào hàng trăm ứng dụng ngân hàng tại châu Âu, Mỹ và nhiều khu vực khác. Khi xâm nhập thiết bị, mã độc yêu cầu quyền Trợ năng (Accessibility) - một quyền rất nhạy cảm để theo dõi thao tác người dùng, đọc mã OTP qua SMS, ghi lại phím bấm và hiển thị màn hình đăng nhập giả mạo đè lên ứng dụng ngân hàng thật. Nguy hiểm hơn, Anatsa còn có khả năng thực hiện giao dịch tự động, bắt chước thao tác người dùng để chuyển tiền.
Theo phân tích kỹ thuật, StellarGrid thực chất chỉ đóng vai trò “ứng dụng trung gian”. Sau khi được cài đặt, nó chưa bộc lộ hành vi nguy hiểm ngay mà âm thầm kết nối ra bên ngoài để tải và kích hoạt mã độc Anatsa về máy người dùng. Để qua mặt các hệ thống quét tự động, ứng dụng này sử dụng nhiều thủ thuật che giấu mã nguồn, phân tán chức năng nguy hiểm vào các thành phần khó phân tích, đồng thời chỉ kích hoạt khi xác định đang chạy trên thiết bị thật, không phải môi trường kiểm thử.
Mã độc Anatsa tấn công Google (Ảnh: Threatlabz)
Kiểu phát tán “núp bóng ứng dụng hợp pháp” này đang trở thành xu hướng của tội phạm mạng, nhằm vượt qua khâu kiểm duyệt ban đầu của kho ứng dụng. Nhờ vỏ bọc vô hại, các ứng dụng độc hại có thể tồn tại một thời gian dài trước khi bị phát hiện và gỡ bỏ. Với hàng chục nghìn lượt cài đặt, quy mô ảnh hưởng thực tế có thể lớn hơn nhiều so với con số hiển thị, trong đó không ít nạn nhân có nguy cơ bị đánh cắp thông tin tài chính mà không hề hay biết.
Anatsa là mã độc (trojan ngân hàng) hoạt động từ năm 2021, từng nhắm vào hàng trăm ứng dụng ngân hàng tại châu Âu, Mỹ và nhiều khu vực khác. Khi xâm nhập thiết bị, mã độc yêu cầu quyền Trợ năng (Accessibility) - một quyền rất nhạy cảm để theo dõi thao tác người dùng, đọc mã OTP qua SMS, ghi lại phím bấm và hiển thị màn hình đăng nhập giả mạo đè lên ứng dụng ngân hàng thật. Nguy hiểm hơn, Anatsa còn có khả năng thực hiện giao dịch tự động, bắt chước thao tác người dùng để chuyển tiền.
Người dùng Android tại Việt Nam nên lưu ý:
- Gỡ bỏ ngay StellarGrid (nếu đã cài) và quét toàn bộ thiết bị bằng phần mềm bảo mật uy tín
- Kiểm tra, thu hồi quyền Trợ năng với các ứng dụng không rõ nguồn gốc
- Bật Play Protect, kích hoạt xác thực hai yếu tố cho ứng dụng ngân hàng
- Chỉ cài ứng dụng từ nhà phát triển uy tín, cảnh giác với ứng dụng “tiện ích” có ít thông tin, đánh giá mờ ám
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
