Hanna
08-15-2023, 09:20
Công ty an ninh mạng Threat Fabric đă cảnh báo từ đầu năm 2023 về sự tấn công trở lại của mă độc Xenomorph trên điện thoại Android, nhằm mục tiêu chiếm quyền điều khiển điện thoại để đánh cắp thông tin trong các ứng dụng ngân hàng điện tử.
Tại Việt Nam, đă có nhiều người dùng bị lừa cài đặt phần mềm giả mạo dẫn đến bị chiếm đoạt tài khoản ngân hàng và đánh cắp tiền.
Xenomorph nguy hiểm đến mức nào?
Xenomorph lần đầu tiên được phát hiện vào tháng 2/2022, được hackers cài cắm vào bên trong ứng dụng Fast Cleaner, ứng dụng được quảng cáo là chuyên dọn dẹp rác và cải thiện hiệu quả sử dụng pin smartphone, có trên Google Play Store. Theo Threat Fabric, thời điểm đó, có đến hơn 56 ngân hàng châu Âu, từ Tây Ban Nha, Bồ Đào Nha, Ư và Bỉ, đă bị mă độc Xenomorph này nhắm đến.
Tuy nhiên vào tháng 3/2023, những kẻ lừa đảo đă cho ra phiên bản mới nguy hiểm hơn của mă độc Xenomorph, bao gồm các chức năng có thể thực hiện lệnh chuyển dữ liệu tự động, nhắm đến hơn 400 ngân hàng và các tổ chức tài chính, bao gồm cả ví tiền điện tử và ứng dụng email. Khi điện thoại của nạn nhân bị nhiễm mă độc này, hacker sẽ đánh cắp các thông tin nhạy cảm (từ tin nhắn, h́nh ảnh cũng như thông tin về tài khoản, mă pin…), chiếm quyền điều khiển điện thoại, từ đó thực hiện các hành vi trực tiếp trên điện thoại của nạn nhân, bao gồm các lệnh rút tiền và giao dịch trên app ngân hàng điện tử, hoàn toàn tự động.
Tại Việt Nam, Cục An toàn thông tin - Bộ Thông tin và Truyền thông, hồi tháng 7 đă cảnh báo về h́nh thức lừa đảo mới đang rộ lên, theo đó kẻ gian lừa nạn nhân cài các ứng dụng giả mạo app của Chính phủ, Tổng cục Thuế. Nhóm đối tượng hacker đă sử dụng đến gần 195 hệ thống khác nhau để lừa đảo người dân cài app mă độc “.apk” giả mạo Tổng cục Thuế, Chính phủ nêu trên.
Tổng cục Thuế cũng đă phát cảnh báo, một số đối tượng giả danh cán bộ thuế cung cấp đường dẫn và hướng dẫn người nộp thuế cài đặt các phần mềm giả mạo ứng dụng của cơ quan thuế nhằm lấy cắp thông tin cá nhân, thông tin tài khoản ngân hàng với mục đích chiếm đoạt tài sản.
Thủ đoạn của đối tượng lừa đảo là gọi hoặc liên hệ với các nạn nhân qua điện thoại, Zalo, Facebook… để mời nạn nhân lên cơ quan thuế, hoặc công an để định danh điện tử. Sau đó, các đối tượng lừa nạn nhân bấm vào link để tải ứng dụng giả mạo dạng “.apk” về, cài đặt app và chấp nhận toàn bộ quyền cho ứng dụng để mă độc hoạt động.
Hacker thực hiện lệnh chuyển tiền trên chính điện thoại của nạn nhân
Câu hỏi mà nhiều nạn nhân đặt ra là làm cách nào mă độc có thể giúp hacker điều khiển từ xa, thực hiện lệnh chuyển tiền trên app ngân hàng điện tử.
Chuyên gia Vũ Ngọc Sơn - Giám đốc Kỹ thuật Công ty NCS, lư giải: Hacker đă lợi dụng một thiết kế của Google trong Android, có tên là dịch vụ trợ năng (Accessibility Service) nhằm giúp cho những người khiếm thị, hoặc mất khả năng vận động có thể dùng được smartphone. Hacker sử dụng Accessibility Service để lập tŕnh mă độc đọc được nội dung và tương tác được trên các ứng dụng khác. Điều này đă phá vỡ thiết kế an ninh kiểu “hộp cát” của Google.
Ông Văn Anh Tuấn - Giám đốc Cao cấp An ninh thông tin, Ngân hàng Techcombank cho biết, ứng dụng Fast Cleaner chứa mă độc Xenomorph có thông tin nhà phát hành mang tên "ilzeeva4" hiện đă bị Google gỡ khỏi kho Play Store. Tuy vậy, có nhiều website giả mạo đang phát tán dưới dạng tập tin cài đặt .apk, với những tên gọi khác nhau như Thuế Việt Nam, Tổng Cục Thuế … “Đối tượng lừa đảo sẽ lừa người dùng để cấp quyền Accessibility cho ứng dụng giả mạo. Sau khi được cấp quyền, ứng dụng giả mạo có thể nằm vùng như một gián điệp, thu thập thông tin, điều khiển các ứng dụng ngân hàng, nhập tài khoản, mật khẩu, sau đó là mă OTP để chuyển tiền từ chính chủ tài khoản”, ông Văn Anh Tuấn cho biết.
“Chúng tôi đặc biệt khuyến cáo người dùng nên thực hiện những phương pháp khắc phục và pḥng chống nguy cơ từ ứng dụng độc hại, như không tải và cài đặt phần mềm lạ như Fast Cleaner, Thuế Việt Nam, Tổng Cục Thuế. Nếu đă cài, hăy lập tức liên hệ với ngân hàng để khoá tài khoản tạm thời, đồng thời ngắt kết nối internet (3G, 4G, wifi…). Cùng với đó, nên cài đặt lại thiết bị để đảm bảo an toàn (nên đến các trung tâm bảo hành hoặc các cửa hàng điện thoại uy tín để được hỗ trợ cài đặt lại an toàn và không mất dữ liệu), không sử dụng các thiết bị đă bị root/unlock bootloader hoặc cài đặt Custom ROM không phải do nhà cung cấp thiết bị hỗ trợ, sử dụng Google Play Protect để quét và ḍ t́m các phần mềm độc hại trên thiết bị Android và đặc biệt chú ư, không cấp quyền Accessibility Service cho bất kỳ ứng dụng nào”.
Tại Việt Nam, đă có nhiều người dùng bị lừa cài đặt phần mềm giả mạo dẫn đến bị chiếm đoạt tài khoản ngân hàng và đánh cắp tiền.
Xenomorph nguy hiểm đến mức nào?
Xenomorph lần đầu tiên được phát hiện vào tháng 2/2022, được hackers cài cắm vào bên trong ứng dụng Fast Cleaner, ứng dụng được quảng cáo là chuyên dọn dẹp rác và cải thiện hiệu quả sử dụng pin smartphone, có trên Google Play Store. Theo Threat Fabric, thời điểm đó, có đến hơn 56 ngân hàng châu Âu, từ Tây Ban Nha, Bồ Đào Nha, Ư và Bỉ, đă bị mă độc Xenomorph này nhắm đến.
Tuy nhiên vào tháng 3/2023, những kẻ lừa đảo đă cho ra phiên bản mới nguy hiểm hơn của mă độc Xenomorph, bao gồm các chức năng có thể thực hiện lệnh chuyển dữ liệu tự động, nhắm đến hơn 400 ngân hàng và các tổ chức tài chính, bao gồm cả ví tiền điện tử và ứng dụng email. Khi điện thoại của nạn nhân bị nhiễm mă độc này, hacker sẽ đánh cắp các thông tin nhạy cảm (từ tin nhắn, h́nh ảnh cũng như thông tin về tài khoản, mă pin…), chiếm quyền điều khiển điện thoại, từ đó thực hiện các hành vi trực tiếp trên điện thoại của nạn nhân, bao gồm các lệnh rút tiền và giao dịch trên app ngân hàng điện tử, hoàn toàn tự động.
Tại Việt Nam, Cục An toàn thông tin - Bộ Thông tin và Truyền thông, hồi tháng 7 đă cảnh báo về h́nh thức lừa đảo mới đang rộ lên, theo đó kẻ gian lừa nạn nhân cài các ứng dụng giả mạo app của Chính phủ, Tổng cục Thuế. Nhóm đối tượng hacker đă sử dụng đến gần 195 hệ thống khác nhau để lừa đảo người dân cài app mă độc “.apk” giả mạo Tổng cục Thuế, Chính phủ nêu trên.
Tổng cục Thuế cũng đă phát cảnh báo, một số đối tượng giả danh cán bộ thuế cung cấp đường dẫn và hướng dẫn người nộp thuế cài đặt các phần mềm giả mạo ứng dụng của cơ quan thuế nhằm lấy cắp thông tin cá nhân, thông tin tài khoản ngân hàng với mục đích chiếm đoạt tài sản.
Thủ đoạn của đối tượng lừa đảo là gọi hoặc liên hệ với các nạn nhân qua điện thoại, Zalo, Facebook… để mời nạn nhân lên cơ quan thuế, hoặc công an để định danh điện tử. Sau đó, các đối tượng lừa nạn nhân bấm vào link để tải ứng dụng giả mạo dạng “.apk” về, cài đặt app và chấp nhận toàn bộ quyền cho ứng dụng để mă độc hoạt động.
Hacker thực hiện lệnh chuyển tiền trên chính điện thoại của nạn nhân
Câu hỏi mà nhiều nạn nhân đặt ra là làm cách nào mă độc có thể giúp hacker điều khiển từ xa, thực hiện lệnh chuyển tiền trên app ngân hàng điện tử.
Chuyên gia Vũ Ngọc Sơn - Giám đốc Kỹ thuật Công ty NCS, lư giải: Hacker đă lợi dụng một thiết kế của Google trong Android, có tên là dịch vụ trợ năng (Accessibility Service) nhằm giúp cho những người khiếm thị, hoặc mất khả năng vận động có thể dùng được smartphone. Hacker sử dụng Accessibility Service để lập tŕnh mă độc đọc được nội dung và tương tác được trên các ứng dụng khác. Điều này đă phá vỡ thiết kế an ninh kiểu “hộp cát” của Google.
Ông Văn Anh Tuấn - Giám đốc Cao cấp An ninh thông tin, Ngân hàng Techcombank cho biết, ứng dụng Fast Cleaner chứa mă độc Xenomorph có thông tin nhà phát hành mang tên "ilzeeva4" hiện đă bị Google gỡ khỏi kho Play Store. Tuy vậy, có nhiều website giả mạo đang phát tán dưới dạng tập tin cài đặt .apk, với những tên gọi khác nhau như Thuế Việt Nam, Tổng Cục Thuế … “Đối tượng lừa đảo sẽ lừa người dùng để cấp quyền Accessibility cho ứng dụng giả mạo. Sau khi được cấp quyền, ứng dụng giả mạo có thể nằm vùng như một gián điệp, thu thập thông tin, điều khiển các ứng dụng ngân hàng, nhập tài khoản, mật khẩu, sau đó là mă OTP để chuyển tiền từ chính chủ tài khoản”, ông Văn Anh Tuấn cho biết.
“Chúng tôi đặc biệt khuyến cáo người dùng nên thực hiện những phương pháp khắc phục và pḥng chống nguy cơ từ ứng dụng độc hại, như không tải và cài đặt phần mềm lạ như Fast Cleaner, Thuế Việt Nam, Tổng Cục Thuế. Nếu đă cài, hăy lập tức liên hệ với ngân hàng để khoá tài khoản tạm thời, đồng thời ngắt kết nối internet (3G, 4G, wifi…). Cùng với đó, nên cài đặt lại thiết bị để đảm bảo an toàn (nên đến các trung tâm bảo hành hoặc các cửa hàng điện thoại uy tín để được hỗ trợ cài đặt lại an toàn và không mất dữ liệu), không sử dụng các thiết bị đă bị root/unlock bootloader hoặc cài đặt Custom ROM không phải do nhà cung cấp thiết bị hỗ trợ, sử dụng Google Play Protect để quét và ḍ t́m các phần mềm độc hại trên thiết bị Android và đặc biệt chú ư, không cấp quyền Accessibility Service cho bất kỳ ứng dụng nào”.