Ứng dụng Flash Player trên Android cài mã độc ngân hàng

Phát hiện ứng dụng Flash Player giả có cài mã độc ngân hàng có thể đánh cắp thông tin ngân hàng và kiểm soát luôn được bước bảo mật xác minh 2 bước.

Các nhà nghiên cứu bảo mật cảnh báo rằng một ứng dụng Flash Player giả mạo đang nhắm vào các thiết bị Android để đánh lừa nạn nhân tải và cài đặt mã độc ngân hàng nguy hiểm có thể đánh cắp thông tin thẻ tín dụng và thậm chí còn có thể vượt qua hàng rào bảo mật 2 lớp của ngân hàng.

Ứng dụng độc hại này còn tấn công cả những dịch vụ như Skype, Snapchat và Facebook. Các nhà nghiên cứu của Fortinet cho biết đã phát hiện ra ứng dụng giả mạo Flash Player này vào ngày 21/10. Họ vẫn còn đang điều tra nguồn phát tán của ứng dụng này là từ đâu, bởi chúng không có trong chợ ứng dụng Google Play.

Chuyên gia Bảo mật Kai Lu ở Fortinet cho biết “Mã độc ngân hàng này có thể đánh cắp thông tin đăng nhập từ 94 ứng dụng ngân hàng di động khác nhau. Dự vào khả năng can thiệp vào SMS, mã độc cũng có thể vượt qua được hàng rào bảo mật xác minh 2 lớp qua SMS”.

Theo Fortinet, mã độc này đang lan rộng ở Mỹ, Đức, Pháp, Úc, Thổ Nhĩ Kỳ, Ba Lan và Áo. Nếu cài đặt vào máy, nó sẽ tạo một biểu tượng trên thiết bị Android. Khi người dùng mở ứng dụng Flash Player giả mạo này, người dùng sẽ bị yêu cầu giao quyền quản trị cho ứng dụng thông qua một Google Play Service giả. Hacker có thể lừa người dùng kích hoạt mã độc thông qua một màn hình Google Play Service giả mạo, thực chất vốn chỉ là một cửa sổ che màn hình.

Biểu tượng Flash Player giả và yêu cầu quyền quản lý

Nếu người dùng quyết định hủy quá trình tải, cửa sổ sẽ tạm đóng lại và mở ra lại ngay lập tức. Cách duy nhất để làm mất cửa sổ che màn hình này chính là chọn “kích hoạt” từ menu lựa chọn. Nếu làm vậy, nạn nhân đã vô tình giao quyền quản trị của mình cho mã độc. Sau đó, biểu tượng Flash Player sẽ ẩn đi và mã độc vẫn tiếp tục chạy ẩn trong thiết bị.

Một khi nạn nhân đã cung cấp quyền quản trị cho ứng dụng, thì việc gỡ ứng dụng trở nên rất khó khăn. Điều tồi tệ hơn là mã độc được giao quyền gửi và nhận tin nhắn. Với quyền này, hacker hoàn toàn có thể kiểm soát và vượt qua bất kỳ hệ thống xác minh hai lớp của các dịch vụ hiện nay.

Ngay sau khi mã độc được cài đặt, nó sẽ thu thập thông tin về thiết bị và gửi những thông tin này về server C&C, chờ lệnh của hacker để xử lý. Với những quyền được  cho phép khi cài đặt, hacker hoàn toàn có thể soạn tin nhắn mới, chỉnh sửa, đọc, gửi và nhận bất kỳ tin nhắn SMS nào cho bất kỳ số điện thoại nào. Các quyền khác cũng bao gồm thay đổi nội dung trên thiết bị, thay đổi thiết lập kết nối Wi-Fi, không cho điện thoại tắt màn hình và thậm chí còn có thể thiết lập lại thiết bị về chế độ mặc định.

Một khi nạn nhân truy cập ngân hàng, sử dụng ứng dụng chat hay mạng xã hội, mã độc sẽ hiện một cửa sổ chặn, yêu cầu nạn nhân phải nhập thông tin tín dụng để sử dụng các chương trình mong muốn.

Yêu cầu thông tin thẻ tín dụng để vào bất kỳ ứng dụng nào

Sau khi nhận được được số thẻ tín dụng, hacker có thể kiểm tra thẻ có hiệu lực hay không qua server quản lý.

Để gỡ mã độc này, bạn có thể vô hiệu hóa quyền quản trị của ứng dụng Flash Player giả trong Settings (Cài đặt) -> Security (Bảo mật) -> Devices Administrators (Quản lý thiết bị) -> Google Play Service -> vô hiệu hóa và gỡ “Flash Player”.

Lu cũng cho biết, nếu như mã độc liên tục hiển thị cửa sổ che màn hình đòi quyền quả trị, người dùng cần phải gỡ mã độc này qua Android Debug Bridge (ADB) bằng cách dùng lệnh ‘adb uninstall [tên chương trình]’.

Các bạn phải hết sức cẩn trọng khi cài đặt bất kỳ ứng dụng nào tương tự như ứng dụng này!

Minh Hương