Giới nghiên cứu an ninh mạng vừa cảnh báo về sự xuất hiện của Sturnus, một chủng mã độc ngân hàng mới trên điện thoại với mức độ tinh vi cao, có khả năng vượt qua nhiều lớp bảo vệ mà người dùng vốn tin tưởng, từ ứng dụng nhắn tin mã hóa đến các hệ thống bảo mật thiết bị.
Theo MTI Security và ThreatFabric, Sturnus không xuất hiện trên Google Play Store, thay vào đó phát tán qua các tập tin APK từ các nguồn không chính thống. Tin tặc thường ngụy trang mã độc dưới dạng bản cập nhật giả mạo của Google Chrome hoặc những ứng dụng quen thuộc, khiến người dùng mất cảnh giác khi cài đặt.
Ngay khi xâm nhập, Sturnus lập tức yêu cầu quyền quản trị thiết bị (device admin). Khi quyền này được cấp, mã độc có thể tự bảo vệ, ngăn người dùng gỡ bỏ, thậm chí mở đường cho hacker khóa thiết bị từ xa nếu bị phát hiện.
Điểm nguy hiểm nằm ở việc Sturnus lạm dụng dịch vụ Trợ năng (Accessibility Services) để đọc nội dung ngay trên màn hình. Nhờ đó, dù tin nhắn trên WhatsApp hay Signal đã được mã hóa đầu cuối, mã độc vẫn có thể xem trọn vẹn nội dung khi chúng vừa hiển thị.
Với các ứng dụng tài chính, Sturnus triển khai tấn công lớp phủ (overlay attacks): Tạo ra giao diện đăng nhập giả chồng lên ứng dụng ngân hàng thật. Khi nạn nhân nhập thông tin, toàn bộ dữ liệu đăng nhập sẽ được gửi trực tiếp về máy chủ điều khiển của hacker, kéo theo nguy cơ mất quyền kiểm soát tài khoản và thiệt hại tài chính.
Hiện mã độc này đang hoạt động mạnh tại Nam và Trung Âu, nhưng các chuyên gia dự đoán phạm vi tấn công có thể nhanh chóng mở rộng toàn cầu. Google cũng xác nhận hệ thống Google Play Protect không phát hiện Sturnus trên kho ứng dụng chính thức, đồng nghĩa rủi ro chủ yếu đến từ thói quen tự cài APK ngoài của người dùng.
Các chuyên gia khuyến nghị người dùng Android:
- Không cài đặt ứng dụng từ các website không rõ nguồn gốc.
- Luôn bật Google Play Protect.
- Hạn chế cấp quyền Trợ năng cho ứng dụng không cần thiết.
- Cân nhắc sử dụng thêm phần mềm bảo mật từ nhà cung cấp uy tín.
Huỳnh Duy
