Các chuyên gia an ninh mạng vừa phát hiện mã độc Android mới mang tên Herodotus. Mã độc này có khả năng "bắt chước con người" một cách tinh vi, từ đó đánh cắp mã PIN và thông tin ngân hàng mà người dùng không hề hay biết.

Theo The Hacker News, nhóm nghiên cứu ThreatFabric vừa đưa ra cảnh báo về một loại mã độc Android mới tên là Herodotus, với mức độ tinh vi chưa từng có.

Điểm nguy hiểm của Herodotus là khả năng mô phỏng chi tiết các thao tác của con người. Thay vì tự động điền thông tin hàng loạt như các phần mềm độc hại thông thường, nó "giả vờ" gõ phím một cách chậm rãi, có ngắt quãng, thậm chí thực hiện các động tác vuốt và chạm trên màn hình y như người thật.

Chính khả năng "bắt chước con người" này giúp Herodotus dễ dàng qua mặt các hệ thống bảo mật hiện đại. Các công nghệ bảo mật dựa trên sinh trắc học hoặc các công cụ phát hiện hành vi gian lận (vốn dựa vào nhịp gõ phím hay tốc độ thao tác) gần như bị vô hiệu hóa, vì chúng không thể phân biệt được đâu là người dùng thật và đâu là mã độc.

Các chuyên gia cho biết, Herodotus thường triển khai một giao diện giả mạo, trông giống hệt ứng dụng ngân hàng hợp pháp. Khi người dùng nhập thông tin đăng nhập, mật khẩu, và mã PIN, mã độc sẽ ghi lại toàn bộ và gửi về máy chủ của tin tặc.

Một trong những kỹ thuật tinh vi nhất là cách nó mô phỏng việc gõ bàn phím. Thay vì nhập dữ liệu ngay lập tức, Herodotus chia từng ký tự và gõ với độ trễ ngẫu nhiên (từ 300 đến 3.000 mili giây), tái hiện chính xác nhịp điệu của một người dùng bình thường.

Ông Aditya Sood, một chuyên gia bảo mật, nhận định rằng kỹ thuật thêm độ trễ này không mới, nhưng Herodotus đã nâng cấp nó lên "mức độ tự nhiên" khiến các hệ thống giám sát hành vi gần như "bó tay".

ThreatFabric cho biết thêm, Herodotus đang được rao bán rộng rãi trên các diễn đàn tội phạm mạng theo mô hình "malware-as-a-service" (phần mềm độc hại dưới dạng dịch vụ). Điều này cho phép bất kỳ kẻ tấn công nào cũng có thể thuê hoặc mua công cụ này với chi phí thấp, khiến khả năng lây lan của nó rất nhanh chóng. Hiện mã độc này đã được ghi nhận trong các cuộc tấná công tại Brazil và Ý.

Trước mối đe dọa này, Google cho biết đã bổ sung thêm lớp bảo vệ trên Play Protect để ngăn người dùng cài đặt các ứng dụng chứa Herodotus. Công ty cũng khuyến cáo người dùng Android chỉ tải ứng dụng từ Google Play, tránh cài đặt file APK từ các nguồn không rõ ràng và luôn cập nhật hệ điều hành mới nhất.

TN (SHTT)