Một chiến dịch phát tán mã độc quy mô lớn vừa bị phát hiện, với hơn 50.000 thiết bị Android trở thành mục tiêu. Đáng chú ý, mã độc khét tiếng Anatsa đã ngụy trang dưới vỏ bọc một ứng dụng văn phòng có tên “All Document Reader” - công cụ tưởng chừng vô hại trên Google Play.
Theo báo cáo từ Zscaler ThreatLabz, ứng dụng này ban đầu hoàn toàn “sạch”, đủ điều kiện vượt qua các lớp kiểm duyệt của Google trước khi được phát hành rộng rãi trên Google Play Store. Chỉ sau khi thu hút hàng chục nghìn lượt tải, mã độc mới được kích hoạt thông qua một bản cập nhật âm thầm từ máy chủ bên ngoài.
Thủ đoạn “ẩn thân” tinh vi
Anatsa không phải cái tên mới trong giới tội phạm mạng. Xuất hiện từ năm 2020, mã độc này còn được biết đến với các tên gọi khác như TeaBot hay Toddler, từng gây ra nhiều vụ tấn công tài chính nghiêm trọng, đặc biệt tại châu Âu.
Điểm đáng lo ngại ở chiến dịch lần này nằm ở chiến thuật phát tán. Thay vì tích hợp mã độc ngay từ đầu - dễ bị hệ thống bảo mật phát hiện - tin tặc sử dụng mô hình “cài trước, kích hoạt sau”. Ứng dụng được đăng tải dưới dạng hợp pháp, tạo độ tin cậy với người dùng. Khi đã hiện diện trên thiết bị của số lượng lớn nạn nhân, mã độc mới được tải xuống và thực thi.
Cách thức này khiến ngay cả người dùng cẩn trọng cũng khó nhận diện rủi ro.
Đánh cắp tài khoản ngân hàng bằng giao diện giả
Sau khi xâm nhập thành công, Anatsa triển khai kỹ thuật tấn công bằng lớp phủ giả mạo (overlay attack). Khi người dùng mở ứng dụng ngân hàng hợp pháp, mã độc lập tức hiển thị một giao diện đăng nhập giả mạo có thiết kế gần như giống hệt bản gốc.
Trong trạng thái mất cảnh giác, nạn nhân nhập thông tin tài khoản vào giao diện giả. Dữ liệu sau đó được gửi trực tiếp về máy chủ của tin tặc, tạo điều kiện để chúng chiếm quyền truy cập và thực hiện các giao dịch chuyển tiền trái phép.
Ngay sau khi nhận được cảnh báo, Google đã gỡ bỏ “All Document Reader” khỏi Google Play Store. Tuy nhiên, nguy cơ vẫn tồn tại đối với những thiết bị đã cài đặt ứng dụng này.
Người dùng được khuyến nghị:
- Kiểm tra và gỡ bỏ ngay ứng dụng nếu còn trên máy.
- Đổi mật khẩu các tài khoản ngân hàng và ví điện tử.
- Theo dõi sát sao lịch sử giao dịch trong thời gian tới.
- Kích hoạt xác thực hai lớp nếu có thể.
Sự việc một lần nữa cho thấy, ngay cả những ứng dụng mang chức năng đơn giản như đọc tài liệu cũng có thể trở thành công cụ phát tán mã độc. Trong bối cảnh tội phạm mạng ngày càng tinh vi, việc kiểm tra kỹ nhà phát triển, đánh giá người dùng và quyền truy cập ứng dụng trước khi cài đặt là bước phòng vệ cần thiết đối với mỗi người dùng smartphone.
