Một chiến dịch tấn công quy mô lớn vừa bị phanh phui, với 77 ứng dụng độc hại trên cửa hàng Google Play đã được hơn 19 triệu người dùng tải xuống. Ẩn sau các ứng dụng tưởng chừng vô hại này là Anatsa, một loại trojan (phần mềm gián điệp) ngân hàng cực kỳ nguy hiểm được thiết kế để đánh cắp thông tin đăng nhập và rút cạn tài khoản ngân hàng của nạn nhân.
Theo báo cáo từ các chuyên gia an ninh mạng tại Zscaler, trojan Anatsa (còn gọi là Tea Bot) đã quay trở lại và nguy hiểm hơn bao giờ hết. Mã độc này hiện có khả năng giả mạo giao diện của hơn 800 ứng dụng ngân hàng và tài chính trên toàn thế giới, một con số đáng báo động so với 600 ứng dụng vào năm ngoái.
Hơn 19 triệu thiết bị Android dính bẫy của mã độc Anatsa.
Điều khiến chiến dịch này đặc biệt nguy hiểm là cách thức mã độc qua mặt hàng rào bảo mật của Google. Tin tặc đã sử dụng một "chiêu trò" hai giai đoạn:
- Giai đoạn 1: Chúng tung ra các ứng dụng "mồi nhử" dưới dạng các tiện ích quen thuộc như trình đọc PDF, ứng dụng đèn pin... Những ứng dụng này ban đầu hoàn toàn "sạch sẽ" để vượt qua khâu kiểm duyệt của Google Play.
- Giai đoạn 2: Sau khi người dùng cài đặt và cấp quyền, ứng dụng mồi nhử sẽ bí mật tải xuống một "bản cập nhật" giả mạo. Thực chất, đây chính là gói cài đặt chứa trojan Anatsa.
Một khi đã xâm nhập thành công, Anatsa sẽ nằm vùng và theo dõi các ứng dụng trên điện thoại. Khi nạn nhân mở một ứng dụng ngân hàng nằm trong danh sách mục tiêu, Anatsa sẽ lập tức kích hoạt tấn công. Nó sẽ tạo ra một màn hình đăng nhập giả mạo, trông giống hệt như màn hình thật của ngân hàng, và phủ lên trên ứng dụng.
Người dùng không chút nghi ngờ sẽ nhập tên đăng nhập và mật khẩu của mình. Ngay lập tức, thông tin nhạy cảm này sẽ được gửi thẳng về cho tin tặc. Từ đó, chúng có toàn quyền truy cập vào tài khoản ngân hàng và có thể rút sạch tiền của nạn nhân.
Ngoài Anatsa, các nhà nghiên cứu còn phát hiện nhiều loại mã độc khác trong 77 ứng dụng bị phát hiện, điển hình là Joker và Harly, có khả năng đánh cắp danh bạ và tự động đăng ký các dịch vụ trả phí đắt đỏ.
Vì các ứng dụng độc hại này có mặt ngay trên cửa hàng chính thức, người dùng cần hết sức cảnh giác. Chuyên gia an ninh mạng khuyến cáo mọi người hạn chế cài đặt ứng dụng không cần thiết, kiểm tra kĩ lưỡng về đánh giá và luôn chọn ứng dụng từ các nhà phát triển lớn, có tên tuổi và lịch sử rõ ràng. Đặc biệt, hãy luôn bật Google Play Protect và sử dụng các chương trình bảo mật đến từ các hãng phần mềm diệt virus uy tín cho Android.
