Phát hiện hai trojan Android nguy hiểm: BankBot‑YNRK và DeliveryRAT đánh cắp dữ liệu tài chính

Các chuyên gia an ninh mạng cảnh báo về hai mã độc trojan Android đang hoạt động ngầm, nhắm tới thiết bị người dùng để chiếm đoạt thông tin cá nhân và dữ liệu ngân hàng.

Các nhà nghiên cứu bảo mật vừa công bố việc phát hiện hai mã độc Android tinh vi là BankBot-YNRK và DeliveryRAT, với khả năng xâm nhập thiết bị, thu thập dữ liệu nhạy cảm và lẩn tránh các biện pháp phát hiện. BankBot-YNRK được phân tích từ ba mẫu ứng dụng giả mạo có tên “IdentitasKependudukanDigital.apk”, giả danh ứng dụng của chính phủ Indonesia, nhằm lừa người dùng cài đặt. Khi đã được kích hoạt, BankBot-YNRK kiểm tra môi trường chạy (như thiết bị ảo, mô giả lập), xác định tên nhà sản xuất và kiểu máy để chọn lọc mục tiêu thực sự — ví dụ thiết bị Oppo/ColorOS, hoặc các mẫu Google Pixel và Samsung nằm trong danh sách “được hỗ trợ”. Sau khi vượt qua lớp phòng thủ, nó thực hiện nhiều hành vi nguy hiểm: tắt âm lượng nhạc chuông và thông báo để nạn nhân không phát hiện, gửi dữ liệu thiết bị về máy chủ điều khiển (“ping.ynrkone.top”), yêu cầu kích hoạt dịch vụ Khả năng truy cập (Accessibility) để chiếm quyền cao hơn, tự động thực hiện hành động giao dịch trái phép với các ứng dụng ngân hàng, lấy danh sách ứng dụng tài chính (62 ứng dụng ngân hàng được xác định), chụp nội dung màn hình, trích xuất SMS, danh bạ, clipboard, vị trí và danh sách ứng dụng đã cài. Hơn nữa, mã độc sử dụng JobScheduler để duy trì sự hiện diện trên thiết bị sau khi khởi động lại. Trong khi đó, DeliveryRAT hoạt động theo mô hình Malware-as-a-Service (MaaS), được phát tán dưới vỏ bọc ứng dụng giao hàng, theo dõi đơn hàng, thị trường trực tuyến, nhận việc từ xa. Kẻ tấn công sử dụng Telegram bot để bán APK hoặc tạo đường dẫn lừa đảo, nhắc người dùng cài giả ứng dụng, rồi yêu cầu quyền truy cập thông báo và tối ưu pin để mã độc chạy ngầm không bị hệ thống gỡ. DeliveryRAT thu SMS, nhật ký cuộc gọi, ẩn biểu tượng ứng dụng khỏi màn hình chính, thậm chí thực hiện tấn công DDoS tại một số biến thể. Sự xuất hiện của hai trojan này báo động tại mảng an ninh mạng và “riêng tư” cá nhân bởi một khi thiết bị bị xâm nhập, dữ liệu tài chính và thông tin cá nhân có thể bị đánh cắp, dẫn đến tổn thất lớn.

Để bảo vệ bản thân trước mối đe dọa này, người dùng cần đảm bảo thiết bị Android: luôn cập nhật hệ điều hành và ứng dụng từ nguồn chính thức; không cài APK từ bên ngoài hoặc giả danh ứng dụng quan trọng; không cấp quyền truy cập Accessibility hoặc thông báo cho ứng dụng không rõ nguồn; kiểm tra quyền ứng dụng thường xuyên, xóa ngay ứng dụng lạ; sử dụng phần mềm bảo mật uy tín; và sao lưu dữ liệu định kỳ để giảm rủi ro khi bị tấn công.

Hương - Theo TheHackerNews