Công ty bảo mật Zscaler ThreatLabz trong vài tháng qua, đã phát hiện hơn 90 ứng dụng Android độc hại với hơn 5,5 triệu lượt cài đặt đã được phát hiện trên Google Play để phát tán các phần mềm độc hại và phần mềm quảng cáo, đáng chú ý trong số đó là Anatsa, một trojan ngân hàng có hoạt động tăng vọt trong thời gian gần đây.
Các ứng dụng này giả mạo là trình đọc PDF, công cụ quét mã QR… để phát tán phần mềm độc hại trên điện thoại, đơn cử như Joker, Adware, Facestealer, Anatsa và Coper.
Trong đó, 5 phần mềm độc hại thống trị hiện trường là Joker, Facestealer, Anatsa, Coper và nhiều phần mềm quảng cáo khác nhau. Phần mềm Anatsa và Coper chỉ chiếm 3% tổng số lượt tải xuống độc hại từ Google Play nhưng chúng nguy hiểm hơn nhiều so với những ứng dụng khác, có khả năng thực hiện lừa đảo trên thiết bị và đánh cắp thông tin nhạy cảm.
Trong đó, Anatsa (còn gọi là "Teabot") nhắm mục tiêu hơn 650 ứng dụng của các tổ chức tài chính ở châu Âu, Mỹ, Anh và châu Á. Nó có khả năng đánh cắp thông tin đăng nhập ngân hàng trực tuyến (e-banking) của người dùng để thực hiện các giao dịch gian lận.
Threat Fabric đã báo cáo rằng kể từ cuối năm ngoái đến tháng 2 năm 2024, Anatsa đã đạt được ít nhất 150.000 ca lây nhiễm thông qua Google Play bằng cách sử dụng nhiều ứng dụng mồi nhử khác nhau trong danh mục phần mềm năng suất. Và mới đây, Zscaler báo cáo rằng Anatsa đã xuất hiện trở lại trên cửa hàng ứng dụng chính thức của Android và hiện được phát tán thông qua hai ứng dụng mồi nhử: 'PDF Reader & File Manager' và 'QR Reader & File Manager'.
Tại thời điểm Zscaler phân tích, hai ứng dụng này đã có 70.000 lượt cài đặt, cho thấy nguy cơ cao các dropper (ứng dụng được thiết kế để triển khai ứng dụng khác sau khi nó được cài đặt) độc hại vượt qua quá trình kiểm tra của Google.
Một điều giúp các dropper của Anatsa không bị phát hiện là cơ chế tải payload (tệp độc hại) nhiều giai đoạn Sau khi Anatsa thiết lập và chạy trên thiết bị mới bị nhiễm, nó sẽ tải lên cấu hình bot và kết quả quét ứng dụng, sau đó tải xuống các thành phần bổ sung tùy thuộc vào vị trí và thông tin của nạn nhân.
Khi cài đặt ứng dụng mới trên Google Play, bạn cần lưu ý các quyền được yêu cầu và từ chối những quyền liên quan đến các hoạt động có rủi ro cao như dịch vụ trợ năng (accessibility), SMS và danh sách liên hệ.
Khi các biện pháp phòng thủ trở nên phức tạp hơn, những kẻ tấn công cũng tiếp tục phát triển các kỹ thuật của chúng, tạo ra các biến thể phần mềm độc hại mới khó phát hiện hơn và có thể vượt qua các công nghệ bảo mật dựa trên danh tiếng (reputation-based).
Deepen Desai, Giám đốc an toàn thông tin (ATTT) (CISO), kiêm Phó Giám đốc điều hành và nghiên cứu bảo mật tại Zscaler cho biết: "Khi các tổ chức ngày càng hoàn thiện hệ thống phòng thủ trên không gian mạng của mình, thì cùng với đó các tin tặc cũng đang hoàn thiện và ngày càng trở nên tinh vi hơn, đặc biệt là trong việc sử dụng các chiến thuật lẩn tránh".
Tội phạm mạng đang tiếp tục phát triển các chiến thuật trở nên tinh vi hơn để tránh bị phát hiện và qua mặt các nhóm bảo mật thông tin. Để giảm thiểu rủi ro từ các cuộc tấn công mã hóa, các tổ chức, doanh nghiệp cần xem xét các giải pháp bảo mật như một phần trong chiến lược phòng thủ an ninh mạng của mình.
 |
Hiện nay, phần mềm độc hại trên Android không phải là hiếm. Để hạn chế mất tiền ngân hàng vì phần mềm độc hại, điều đầu tiên và quan trọng nhất bạn cần quan tâm là không tải xuống các ứng dụng lạ. Tiếp theo là kích hoạt tính năng Google Play Protect trong Google Play để được bảo vệ khỏi phần mềm độc hại.
Mặc dù, Google hiện đã xóa các ứng dụng vi phạm khỏi cửa hàng của mình nhưng chúng vẫn còn tồn tại trên các cửa hàng ứng dụng của bên thứ ba. Do đó, người dùng nên hạn chế cấp các quyền không cần thiết khi cài đặt trên cửa hàng ứng dụng và xác minh tính hợp pháp của chúng bằng cách kiểm tra thông tin nhà phát triển, đọc các bài đánh giá và xem xét kỹ lưỡng chính sách quyền riêng tư của họ.
