Công ty an ninh mạng Threat Fabric đã cảnh báo từ đầu năm 2023 về sự tấn công trở lại của mã độc Xenomorph trên điện thoại Android, nhằm mục tiêu chiếm quyền điều khiển điện thoại để đánh cắp thông tin trong các ứng dụng ngân hàng điện tử.
Tại Việt Nam, số người dùng bị lừa cài đặt phần mềm giả mạo dẫn đến bị chiếm đoạt tài khoản ngân hàng và đánh cắp tiền vẫn đang tăng mạnh từ tháng 7 tới nay. Đã có những nạn nhân bị mất cả tỷ đồng.
Xenomorph nguy hiểm đến mức nào?
Xenomorph lần đầu tiên được phát hiện vào tháng 2.2022, được hackers cài cắm vào bên trong ứng dụng Fast Cleaner, ứng dụng được quảng cáo là chuyên dọn dẹp rác và cải thiện hiệu quả sử dụng pin smartphone, có trên Google Play Store. Theo Threat Fabric, thời điểm đó, có đến hơn 56 ngân hàng Châu Âu, từ Tây Ban Nha, Bồ Đào Nha, Ý và Bỉ, đã bị mã độc Xenomorph này nhắm đến.
Tuy nhiên vào tháng 3/2023, những kẻ lừa đảo đã cho ra phiên bản mới nguy hiểm hơn của mã độc Xenomorph, bao gồm các chức năng có thể thực hiện lệnh chuyển dữ liệu tự động, nhắm đến hơn 400 ngân hàng và các tổ chức tài chính, bao gồm cả ví tiền điện tử và ứng dụng email.
Mã độc đánh cắp Cookie trên điện thoại của nạn nhân |
Khi điện thoại của nạn nhân bị nhiễm mã độc này, hacker sẽ đánh cắp các thông tin nhạy cảm (từ tin nhắn, hình ảnh cũng như thông tin về tài khoản, mã pin…), chiếm quyền điều khiển điện thoại, từ đó thực hiện mọi hành vi trực tiếp trên điện thoại của nạn nhân, bao gồm các lệnh rút tiền và giao dịch trên app ngân hàng điện tử, hoàn toàn tự động.
Tại Việt Nam, Cục An toàn thông tin, Bộ Thông tin và Truyền thông, hồi tháng 7 đã cảnh báo về hình thức lừa đảo mới đang rộ lên, theo đó kẻ gian lừa nạn nhân cài các ứng dụng giả mạo app của Chính phủ, Tổng cục Thuế.
Nhóm đối tượng hacker đã sử dụng đến gần 195 hệ thống khác nhau để lừa đảo người dân cài app mã độc “.apk” giả mạo Tổng cục Thuế, Chính phủ nêu trên.
Tổng cục Thuế cũng đã phát cảnh báo, một số đối tượng giả danh cán bộ thuế cung cấp đường dẫn và hướng dẫn người nộp thuế cài đặt các phần mềm giả mạo ứng dụng của cơ quan thuế nhằm lấy cắp thông tin cá nhân, thông tin tài khoản ngân hàng với mục đích chiếm đoạt tài sản.
Thủ đoạn của đối tượng lừa đảo là gọi hoặc liên hệ với các nạn nhân qua điện thoại, Zalo, Facebook… để mời nạn nhân lên cơ quan thuế, hoặc công an để định danh điện tử. Sau đó, các đối tượng lừa nạn nhân bấm vào link để tải ứng dụng giả mạo dạng “.apk” về, cài đặt app và chấp nhận toàn bộ quyền cho ứng dụng để mã độc hoạt động.
Nhiều quốc gia là mục tiêu của mã độc Xenomorph |
Hacker thực hiện lệnh chuyển tiền trên chính điện thoại của nạn nhân
Câu hỏi mà nhiều nạn nhân đặt ra là làm cách nào mã độc có thể giúp hacker điều khiển từ xa, thực hiện lệnh chuyển tiền trên app ngân hàng điện tử.
Chuyên gia Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty NCS, lý giải: Hacker đã lợi dụng một thiết kế của Google trong Android, có tên là dịch vụ trợ năng (Accessibility Service) nhằm giúp cho những người khiếm thị, hoặc mất khả năng vận động có thể dùng được smartphone.
Hacker sử dụng Accessibility Service để lập trình mã độc đọc được nội dung và tương tác được trên các ứng dụng khác. Điều này đã phá vỡ thiết kế an ninh kiểu “hộp cát” của Google.
Ông Văn Anh Tuấn, Giám đốc Cao cấp An ninh thông tin, Ngân hàng Techcombank, cho biết: Hiện đã bị Google gỡ khỏi kho Play Store ứng dụng Fast Cleaner chứa mã độc Xenomorph có thông tin nhà phát hành mang tên "ilzeeva4".
Tuy vậy, có nhiều website giả mạo đang phát tán dưới dạng tập tin cài đặt .apk, với những tên gọi khác nhau như Thuế Việt Nam, Tổng Cục Thuế …
“Đối tượng lừa đảo sẽ lừa người dùng để cấp quyền Accessibility cho ứng dụng giả mạo. Sau khi được cấp quyền, ứng dụng giả mạo có thể nằm vùng như một gián điệp, thu thập thông tin, điều khiển các ứng dụng ngân hàng, nhập tài khoản, mật khẩu, sau đó là mã OTP để chuyển tiền từ chính chủ tài khoản”, ông Văn Anh Tuấn cho biết.
“Chúng tôi đặc biệt khuyến cáo người dùng nên thực hiện những phương pháp khắc phục và phòng chống nguy cơ từ ứng dụng độc hại, như không tải và cài đặt phần mềm lạ như Fast Cleaner, Thuế Việt Nam, Tổng Cục Thuế.
Nếu đã cài, hãy lập tức liên hệ với ngân hàng để khoá tài khoản tạm thời, đồng thời ngắt kết nối internet (3G, 4G, wifi..).
Cùng với đó, nên cài đặt lại thiết bị để đảm bảo an toàn(Nên đến các trung tâm bảo hành hoặc các cửa hàng điện thoại uy tín để được hỗ trợ cài đặt lại an toàn và không mất dữ liệu), không sử dụng các thiết bị đã bị root/unlock bootloader hoặc cài đặt Custom ROM không phải do nhà cung cấp thiết bị hỗ trợ, sử dụng Google Play Protect để quét và dò tìm các phần mềm độc hại trên thiết bị Android và đặc biệt chú ý, không cấp quyền Accessibility Service cho bất kỳ ứng dụng nào”.
Hiện tại, các ứng dụng giả mạo chỉ hoạt động trên hệ điều hành Android, đường link tải phần mềm nằm ngoài chợ ứng dụng CHPlay. Các điện thoại iPhone hiện không cho phép cài từ nguồn bên ngoài chợ ứng dụng Apple Store nên không bị tấn công theo dạng này. Để phòng tránh hình thức lừa đảo điện tử nguy hại này, Techcombank khuyến cáo:
- Tuyệt đối không bấm vào các đường link nhận được qua tin nhắn (SMS, Zalo, Telegram, Faceboook messenger..)
- Tuyệt đối cảnh giác với yêu cầu cài đặt phần mềm, đặc biệt là phần mềm trên hệ điều hành Android.
- Tuyệt đối không cấp quyền Accessibility. Tất cả các ứng dụng của ngân hàng, thuế hay bất kỳ cơ quan nào khác đều không yêu cầu người dùng quyền này.
- Với điện thoại Android, chỉ cài ứng dụng bằng cách vào trực tiếp CHPlay và tìm phần mềm tương ứng trên đó. Tương tự, với điện thoại iPhone, người dùng chỉ cài từ Apple Store.
- Cần nâng cao cảnh giác với các cuộc gọi lạ mạo danh cán bộ nhà nước yêu cầu cài đặt các phần mềm. Tuyệt đối không làm theo và hãy liên hệ ngay với các cơ quan chức năng có thẩm quyền để xác minh.
Tài liệu tham khảo:
1. https://tech.hindustantimes.com/tech/news/android-users-beware-dangerous-money-stealing-malware-returns-know-how-to-stay-safe-71678960678726.html
2. https://thehackernews.com/2023/03/xenomorph-android-banking-trojan.html
3. https://securityaffairs.com/143316/malware/xenomorph-android-malware-v3.html
4. https://www.mirror.co.uk/tech/android-xenomorph-bank-malware-attack-29466695