Với những nâng cấp bảo mật gần đây trên Google Play Store, bạn có thể kỳ vọng rằng các ứng dụng nguy hiểm sẽ bị chặn hiệu quả hơn. Nhưng thực tế không phải lúc nào cũng vậy. Google vừa xóa hàng chục ứng dụng chứa mã độc khỏi nền tảng của mình, sau khi chúng đã được tải xuống hơn 19 triệu lần.
Nhóm ThreatLabz của Zscaler đang trong quá trình điều tra một chiến dịch mã độc quy mô lớn nhắm vào người dùng Android.
Cách mã độc Anatsa đánh cắp dữ liệu và tiền của bạn
Anatsa được ghi nhận lần đầu vào năm 2020. Nó được nhúng trong các ứng dụng giả mạo và độc hại, được sử dụng rộng rãi để đánh cắp dữ liệu nhạy cảm và thông tin đăng nhập ngân hàng của người dùng. Báo cáo hiện tại cho thấy trojan này hiện nhắm vào hơn 830 ứng dụng ngân hàng, tiền điện tử và ví kỹ thuật số, với hoạt động gần đây tập trung ở Đức và Hàn Quốc.
Tin tặc ngụy trang các ứng dụng này để chúng trông hợp pháp khi nhắm vào các thiết bị Android. Một số ví dụ về cách ngụy trang bao gồm các ứng dụng đọc PDF, ứng dụng chăm sóc sức khỏe hoặc công cụ đèn pin.
Một trường hợp gần đây liên quan đến ứng dụng có tên Document Reader – File Manager, được phát hành bởi một nhà phát triển đáng ngờ tên orukov5 trên Play Store, và đã đạt hơn một nghìn lượt cài đặt trước khi bị gỡ bỏ.
Sau khi được cài đặt, ứng dụng khai thác các lỗ hổng trong quyền truy cập để giành được các quyền. Sau đó, nó hoạt động như một kênh để tải xuống các file độc hại, chẳng hạn như mã thực thi, từ các máy chủ từ xa thông qua các bản cập nhật ứng dụng. Những mã này được hoạt động âm thầm trên thiết bị bị ảnh hưởng. Sau đó, mã độc bắt đầu quét các ứng dụng ngân hàng đã cài đặt, xâm phạm bảo mật của chúng và đánh cắp thông tin mà nạn nhân không hề hay biết.
Trong một số trường hợp, nó hiển thị các màn hình đăng nhập giả mạo để thu thập thông tin đăng nhập tài khoản, tương tự như chiến thuật được sử dụng bởi mã độc Hook. Tin tặc sau đó sử dụng các thông tin bị đánh cắp này để rút tiền từ tài khoản ngân hàng của nạn nhân.
Malwarebytes lưu ý rằng Anatsa tiếp tục phát triển, vượt qua các biện pháp bảo vệ an ninh mới và tiên tiến. Điều này khiến việc phát hiện và chặn mã độc ngày càng khó khăn.
Các mối đe dọa mã độc khác: Joker và Harly
Ngoài Anatsa, các nhà nghiên cứu bảo mật còn phát hiện các loại mã độc khác, bao gồm Joker và Harly, được phân phối thông qua các ứng dụng độc hại. Đây là các biến thể phần mềm quảng cáo, nhưng cũng có khả năng đánh cắp thông tin bằng cách đọc tin nhắn và do thám thông qua ảnh chụp màn hình và ghi lại màn hình.
Theo Google, họ đã phát hiện các mối đe dọa này và khắc phục các lỗ hổng bằng cách xóa các ứng dụng. Người dùng bị ảnh hưởng được cho là đã nhận được cảnh báo và được khuyên xóa các ứng dụng khỏi thiết bị của họ.
Cách bảo vệ thiết bị của bạn khỏi mã độc
Vụ tấn công gần đây cho thấy các mối đe dọa tiếp tục phát triển bất chấp các cải tiến bảo mật từ Google và Apple. Người dùng được khuyến nghị thực hiện các biện pháp an toàn chủ động để bảo vệ thiết bị và dữ liệu của mình.
Ngay cả khi một ứng dụng trông hợp pháp, hãy luôn kiểm tra nhà phát hành và số lượt tải xuống, đồng thời tránh cài đặt ứng dụng từ bên thứ ba ngoài Play Store. Đồng thời, tránh cấp quyền ngay lập tức và cẩn thận với các quyền bạn cấp. Trong một số trường hợp, tốt nhất nên gỡ cài đặt các ứng dụng bạn không còn sử dụng.
Cũng nên kích hoạt các cài đặt bảo mật như Google Play Protect, được bật theo mặc định. Tính năng này quét các ứng dụng trong quá trình tải xuống và cài đặt, đồng thời cảnh báo bạn về các mối đe dọa tiềm ẩn. Ngoài ra, hãy đảm bảo điện thoại và các dịch vụ cốt lõi của bạn được cập nhật lên phiên bản phần mềm mới nhất, vì chúng bao gồm các bản sửa lỗi bảo mật mới nhất cho các lỗ hổng.
