Trojan nguy hiểm trên ngân hàng di động có keylogger đánh cắp mọi thứ của người dùng

Ngày nay khi ngân hàng trực tuyến dần trở nên phổ biến với người dùng, tội phạm mạng cũng nhanh chóng hướng tầm ngắm đến mảng này nhằm chiếm đoạt tiền bạc và thông tin của nạn nhân. Các chiêu trò càng lúc càng tinh vi và khó phát hiện hơn so với trước đây.

Các chuyên gia bảo mật đã phát hiện ra một trong số những Trojan ngân hàng trên Android nguy hiểm nhất hiện nay đã có thêm tính năng Keylogger, cho phép kẻ tấn công có thêm 1 cách để đánh cắp thông tin nhạy cảm của nạn nhân.

Roman Unuchek, chuyên gia bảo mật của Kaspersky Lab, đã chỉ ra một biến thể mới của mã độc Trojan ngân hàng trên Android nổi tiếng tên Svpeng vào giữa tháng trước với tính năng keylogger mới, khai thác từ Android’s Accessibility Services. Đây là tính năng cung cấp cho người dùng những cách khác nhau để tương tác với thiết bị thông minh.

Thay đổi này giúp mã độc Svpeng không chỉ đánh cắp dữ liệu được nhập từ các ứng dụng được cài trên thiết bị, ghi lại mọi hoạt động của người dùng mà còn giành quyền ngăn chặn người dùng gỡ bỏ chúng khỏi thiết bị.

Chỉ mới tháng 11 năm ngoái, mã độc Trojan Svpeng đã lây nhiễm hơn 318,000 thiết bị Android trên toàn thế giới chỉ trong vòng 2 tháng lợi dụng quảng cáo của Google Adsense. Hơn 1 tháng trước, các chuyên gia cũng phát hiện một cuộc tấn công khác đánh vào Android’s Accessibility Services, hay còn được gọi là cuộc tấn công Cloak and Dagger, cho phép hacker ngấm ngầm chiếm quyền kiểm soát thiết bị và đánh cắp dữ liệu cá nhân.

Được biết, dù chủng Svpeng mới chưa lan rộng nhưng đã tấn công hơn 23 quốc gia chỉ trong 1 tuần, trong đó có Nga, Đức, Thổ Nhĩ Kỳ, Ba Lan và Pháp. Điều đáng ngạc nhiên là dù đa số người dùng ở Nga bị lây nhiễm chủng Svpeng mới này, nhưng Trojan vẫn chưa thực hiện hành vi đáng ngờ nào trên thiết bị của nạn nhân.

Theo Unuchek, sau khi lây nhiễm vào thiết bị, Trojan sẽ kiểm tra ngôn ngữ của thiết bị. Nếu ngôn ngữ chính là tiếng Nga, mã độc sẽ chặn lại những hoạt động độc hại – có giả thiết cho rằng nhóm tội phạm mạng này có thể là từ Nga, họ làm vậy để tránh vi phạm luật pháp tại Nga chăng.

Một khi Svpeng lây nhiễm vào thiết bị và xác định ngôn ngữ thiết bị không phải là tiếng Nga, mã độc sẽ yêu cầu quyền sử dụng Accessibility Services, từ đây thiết bị lây nhiễm sẽ đối mặt với nhiều nguy cơ bảo mật khủng khiếp.

Với quyền truy cập Accessibility Services, mã độc sẽ nhanh chóng chiếm quyền quản trị thiết bị, hiện màn phủ trên một số ứng dụng khác, tự cài đặt dưới dạng ứng dụng nhắn tin SMS chính, cho phép kiểm soát quyền tạo cuộc gọi, gửi và nhận SMS cũng như đọc danh bạ của nạn nhân. Thêm vào đó, với khả năng mới của mình, Trojan có thể chặn mọi nỗ lực của nạn nhân để gỡ bỏ chúng cũng như ngắt quyền của chúng. Không chỉ vậy, Svpeng còn có thể xâm nhập hoạt động của các ứng dụng khác, đánh cắp những nội dung được nhập trên ứng dụng đó và thậm chí là chụp hình nền mỗi khi người dùng nhấp các nút trên bàn phím.

Những dữ liệu được đánh cắp sẽ được truyền về hệ thống quản lý chủ của kẻ tấn công. Unuchek cho biết đã anh đã thử tìm cách can thiệp đánh chặn một tập tin cấu hình mã hóa từ máy chủ C&C của mã độc.

Tập tin này đã giúp anh tìm ra một số website và ứng dụng mà Svpeng nhắm đến cũng như giúp anh tìm ra URL với những trang giả mạo PayPal, eBay kèm theo đường dẫn đến những ứng dụng ngân hàng từ các nước Anh, Đức, Thổ Nhĩ Kỳ, Úc, Pháp, Ba Lan và Singapore.

Ngoài ra, tập tin cũng cho thấy nhiều lệnh được gửi từ máy chủ C&C như gửi tin nhắn SMS, thu thập các thông tin như danh bạ, các ứng dụng đã cài, lịch sử cuộc gọi, mở một số link độc hại, thu thập toàn bộ tin nhắn SMS trên thiết bị cũng như những tin nhắn mới gửi đến.

Có thể nói đây là thời kỳ bùng nổ của mã độc tấn công vào các thiết bị thông minh, người dùng nên trang bị cho mình những kiến thức và thủ thuật cần thiết để chống lại cũng như giảm thiểu thiệt hại có thể xảy ra một khi bị tấn công bởi các mã độc này.

Minh Hương