Phát hiện ứng dụng VPN cài cắm mã độc đánh cắp tiền ngân

Phát hiện ứng dụng VPN cài cắm mã độc đánh cắp tiền ngân hàng

Loại mã độc mới núp bóng ứng dụng VPN trên Android có thể 'dọn sạch' tài khoản ngân hàng của bạn trong đêm.

Các chuyên gia an ninh mạng vừa phát đi cảnh báo về một loại mã độc Android mới, cực kỳ tinh vi và nguy hiểm, đang ngụy trang dưới vỏ bọc một ứng dụng xem TV và VPN miễn phí. Nếu không cẩn thận, người dùng có thể bị tin tặc chiếm toàn quyền kiểm soát điện thoại và đánh cắp tiền ngay trong lúc đang ngủ.

Chiêu bài tinh vi khiến người dùng Android sập bẫy mã độc đánh cắp tiền

Mối đe dọa này có tên là Klopatra, một loại phần mềm độc hại hoàn toàn mới, được phát hiện bởi công ty bảo mật Cleafy. Cuộc tấn công bắt đầu bằng việc lừa người dùng cài đặt một ứng dụng giả mạo có tên 'Mobdro Pro IP TV + VPN' từ các nguồn không chính thức bên ngoài Google Play Store.

Sau khi được cài đặt, ứng dụng này sẽ yêu cầu một quyền hạn cực kỳ nguy hiểm là cho phép cài đặt các ứng dụng khác. Đây chính là dấu hiệu cảnh báo đầu tiên. Nếu người dùng đồng ý, nó sẽ tiếp tục yêu cầu cài đặt một ứng dụng thứ hai có tên 'Mobdro pro'. Thực chất, ứng dụng thứ hai này mới chính là mã độc Klopatra. Thủ thuật này nhằm đánh lừa nạn nhân, khiến họ nghĩ rằng đây chỉ là một bước để hoàn tất quá trình cài đặt ban đầu.

Phát hiện mã độc Klopatra ngụy trang ứng dụng VPN đánh cắp tiền ngân hàng - Ảnh 1. — Các bước xâm nhập tinh vi của Mobdro Pro IP TV + VPN

Khi đã xâm nhập thành công, Klopatra sẽ yêu cầu quyền truy cập vào dịch vụ trợ năng (Accessibility Services). Đây là một quyền hạn mạnh trên Android, cho phép ứng dụng đọc mọi thứ trên màn hình, ghi lại tất cả những gì bạn gõ, tự động nhấn nút và điều khiển thiết bị thay người dùng.

Tin tặc có thể làm gì khi điện thoại bị nhiễm mã độc?

Với quyền kiểm soát trong tay, tin tặc có thể thực hiện những hành vi đáng sợ mà nạn nhân không hề hay biết:

Điều khiển từ xa: Hacker có thể truy cập và điều khiển điện thoại thông qua một màn hình đen, khiến nạn nhân không thể nhận ra thiết bị đang bị sử dụng.
Vô hiệu hóa phần mềm bảo mật: Klopatra có một danh sách các ứng dụng diệt virus phổ biến. Nếu phát hiện người dùng cài đặt chúng, nó sẽ tự động gỡ bỏ để tránh bị phát hiện.
Ngăn chặn gỡ bỏ: Nếu bị người dùng phát hiện và cố gắng gỡ cài đặt ứng dụng độc hại, Klopatra sẽ tự động thực hiện các thao tác ngăn cản.
Đánh cắp thông tin ngân hàng: Khi nạn nhân mở ứng dụng ngân hàng, Klopatra sẽ hiển thị một màn hình đăng nhập giả mạo y như thật đè lên trên. Khi nhập tên đăng nhập và mật khẩu, thông tin này sẽ được gửi thẳng về cho hacker.

Phát hiện mã độc Klopatra ngụy trang ứng dụng VPN đánh cắp tiền ngân hàng - Ảnh 2. — Tin tặc sẽ trộm sạch tài khoản ngân hàng của nạn nhân 'dính' Klopatra

Đáng sợ hơn, những kẻ tấn công thường hành động vào ban đêm, khi nạn nhân ngủ và điện thoại đang cắm sạc. Chúng sẽ dùng mã PIN đã đánh cắp được để mở khóa, truy cập vào ứng dụng ngân hàng và thực hiện các lệnh chuyển tiền. Một ghi chú của hacker bị phát hiện cho thấy chúng đã cố gắng thực hiện một giao dịch chuyển 7.000 USD nhưng không thành công.

Làm thế nào để giữ an toàn?

Sự tinh vi của Klopatra là lời cảnh báo cho người dùng Android. Để tự bảo vệ mình, hãy luôn ghi nhớ các nguyên tắc sau:

Không cài ứng dụng từ nguồn lạ: Chỉ tải ứng dụng từ Google Play Store. Tuyệt đối không cài đặt các tệp APK tải từ các trang web không rõ nguồn gốc.
Cảnh giác với quyền hạn ứng dụng: Hãy đọc kỹ các quyền mà ứng dụng yêu cầu. Nếu một ứng dụng xem TV/VPN yêu cầu quyền cài đặt ứng dụng khác hoặc dịch vụ trợ năng, hãy từ chối và gỡ bỏ nó ngay lập tức.
Tránh xa nội dung lậu: Các ứng dụng hứa hẹn cung cấp nội dung bất hợp pháp (phim, TV miễn phí) thường là mồi nhử của phần mềm độc hại.