-
09/04/2020
-
114
-
1.124 bài viết
Chiến dịch trojan ngân hàng nhắm vào người dùng Android Việt Nam và Indonesia
Một chiến dịch tấn công mạng tinh vi đang nhắm thẳng vào người dùng Android tại Việt Nam và Indonesia. Các nhà nghiên cứu từ DomainTools vừa công bố phát hiện một nhóm tội phạm mạng có động cơ tài chính đã phát tán trojan ngân hàng dưới vỏ bọc ứng dụng chính phủ và thanh toán giả mạo. Điểm đáng chú ý là nhóm này áp dụng nhiều kỹ thuật né tránh mới lạ, khiến ngay cả những hệ thống phòng vệ hiện đại cũng khó phát hiện.
Theo báo cáo, nhóm tấn công đã dựng các trang web giả mạo Google Play Store, mô phỏng y hệt cửa hàng ứng dụng hợp pháp. Khi nạn nhân bấm tải về, thay vì nhận liên kết trực tiếp, trình duyệt sẽ khởi tạo một kết nối WebSocket đặc biệt. File cài đặt (.apk) sau đó được gửi về thành từng mảnh nhỏ kèm theo thanh tiến trình giả. Cách này vừa đánh lừa người dùng, vừa qua mặt được tường lửa và các công cụ tự động vốn chỉ dò tìm các đường dẫn tải tệp APK cố định.
Phần mềm độc hại được cài xuống chủ yếu là các biến thể của BankBot - một dòng trojan ngân hàng khét tiếng có mã nguồn bị rò rỉ từ năm 2016. Những biến thể này có thể hiển thị màn hình đăng nhập giả để đánh cắp thông tin tài khoản, đánh chặn SMS nhằm vượt qua xác thực hai lớp, hoặc trực tiếp thu thập dữ liệu thanh toán của người dùng.
Các nhà nghiên cứu cho biết nhóm này duy trì hàng trăm tên miền liên quan với đặc điểm hạ tầng nhất quán: đăng ký qua Gname.com Pte. Ltd., dùng nameserver share-dns[.]net hoặc Cloudflare, và lưu trữ trên các nhà cung cấp dịch vụ như Alibaba hoặc Scloud tại Singapore và Indonesia. Trung bình, mỗi tên miền được đăng ký và kích hoạt chỉ trong vòng hơn 10 giờ, chủ yếu trong giờ hành chính ở khu vực Đông Á gợi ý rằng nhóm vận hành có thể đặt căn cứ trong khu vực này.
Ngoài ra, dù sử dụng những kỹ thuật phát tán tinh vi, nhóm tấn công vẫn mắc lỗi nghiệp dư. Một trang web giả mạo ứng dụng thuế M-Pajak của Indonesia lại chứa lẫn lộn chuỗi ngôn ngữ từ Thái, Việt, Bồ Đào Nha đến Indonesia, cho thấy việc dùng lại template có sẵn một cách cẩu thả.
Chiến dịch này đặc biệt đáng lo với người dùng Việt Nam khi các ứng dụng giả mạo có tên gần giống dịch vụ quen thuộc. Người dùng Android có thể vô tình cài đặt ứng dụng độc hại khi tìm kiếm công cụ liên quan đến ngân hàng, ví điện tử hay ứng dụng chính phủ. Khi đó, toàn bộ dữ liệu tài chính cá nhân có nguy cơ bị đánh cắp, tài khoản ngân hàng có thể bị rút sạch hoặc bị kẻ gian lợi dụng.
Để giảm thiểu rủi ro, các chuyên gia khuyến cáo người dùng cần:
Theo báo cáo, nhóm tấn công đã dựng các trang web giả mạo Google Play Store, mô phỏng y hệt cửa hàng ứng dụng hợp pháp. Khi nạn nhân bấm tải về, thay vì nhận liên kết trực tiếp, trình duyệt sẽ khởi tạo một kết nối WebSocket đặc biệt. File cài đặt (.apk) sau đó được gửi về thành từng mảnh nhỏ kèm theo thanh tiến trình giả. Cách này vừa đánh lừa người dùng, vừa qua mặt được tường lửa và các công cụ tự động vốn chỉ dò tìm các đường dẫn tải tệp APK cố định.
Phần mềm độc hại được cài xuống chủ yếu là các biến thể của BankBot - một dòng trojan ngân hàng khét tiếng có mã nguồn bị rò rỉ từ năm 2016. Những biến thể này có thể hiển thị màn hình đăng nhập giả để đánh cắp thông tin tài khoản, đánh chặn SMS nhằm vượt qua xác thực hai lớp, hoặc trực tiếp thu thập dữ liệu thanh toán của người dùng.
Các nhà nghiên cứu cho biết nhóm này duy trì hàng trăm tên miền liên quan với đặc điểm hạ tầng nhất quán: đăng ký qua Gname.com Pte. Ltd., dùng nameserver share-dns[.]net hoặc Cloudflare, và lưu trữ trên các nhà cung cấp dịch vụ như Alibaba hoặc Scloud tại Singapore và Indonesia. Trung bình, mỗi tên miền được đăng ký và kích hoạt chỉ trong vòng hơn 10 giờ, chủ yếu trong giờ hành chính ở khu vực Đông Á gợi ý rằng nhóm vận hành có thể đặt căn cứ trong khu vực này.
Ngoài ra, dù sử dụng những kỹ thuật phát tán tinh vi, nhóm tấn công vẫn mắc lỗi nghiệp dư. Một trang web giả mạo ứng dụng thuế M-Pajak của Indonesia lại chứa lẫn lộn chuỗi ngôn ngữ từ Thái, Việt, Bồ Đào Nha đến Indonesia, cho thấy việc dùng lại template có sẵn một cách cẩu thả.
Chiến dịch này đặc biệt đáng lo với người dùng Việt Nam khi các ứng dụng giả mạo có tên gần giống dịch vụ quen thuộc. Người dùng Android có thể vô tình cài đặt ứng dụng độc hại khi tìm kiếm công cụ liên quan đến ngân hàng, ví điện tử hay ứng dụng chính phủ. Khi đó, toàn bộ dữ liệu tài chính cá nhân có nguy cơ bị đánh cắp, tài khoản ngân hàng có thể bị rút sạch hoặc bị kẻ gian lợi dụng.
Để giảm thiểu rủi ro, các chuyên gia khuyến cáo người dùng cần:
- Chỉ tải ứng dụng từ Google Play chính thức hoặc kho ứng dụng uy tín.
- Kiểm tra kỹ tên ứng dụng, nhà phát triển và số lượt tải trước khi cài đặt.
- Bật xác thực hai lớp, song song với theo dõi biến động tài khoản ngân hàng.
- Thường xuyên cập nhật hệ điều hành và ứng dụng bảo mật.
- Doanh nghiệp, ngân hàng nên chủ động cảnh báo khách hàng về nguy cơ giả mạo.
WhiteHat