Mã độc ngân hàng di động mới mang tên Sturnus đang được giới chuyên gia an ninh mạng cảnh báo vì mức độ nguy hiểm và tinh vi.

Giới chuyên gia từ MTI Security và ThreatFabric vừa công bố những phát hiện đáng lo ngại về Sturnus, một biến thể mã độc ngân hàng di động có mức độ tinh vi cao, đang đe dọa người dùng Android.

Sturnus hoàn toàn vắng mặt trên kho ứng dụng chính thức Google Play Store. Thay vào đó, chiến thuật phát tán của tin tặc là sử dụng các tệp tin APK độc hại được ngụy trang tinh vi dưới dạng những bản cập nhật giả mạo của các ứng dụng quen thuộc, điển hình là Google Chrome.

Khi xâm nhập thành công, Sturnus sẽ ngay lập tức yêu cầu được cấp quyền Quản trị Thiết bị (Device Admin). Nếu người dùng chấp thuận, mã độc sẽ thiết lập cơ chế tự bảo vệ, khiến việc gỡ bỏ trở nên gần như bất khả thi. Thậm chí, nó còn mở cửa cho hacker khóa chết thiết bị từ xa nếu phát hiện có hành động can thiệp.

Điểm đột phá và nguy hiểm nhất của Sturnus là khả năng lạm dụng các tính năng nền tảng của Android để đánh cắp dữ liệu:

- Vượt rào mã hóa: Sturnus khai thác tối đa Dịch vụ Trợ năng (Accessibility Services) để trực tiếp "đọc" nội dung ngay trên màn hình của thiết bị. Điều này có nghĩa là, dù tin nhắn trên các ứng dụng bảo mật cao như WhatsApp hay Signal đã được bảo vệ bằng mã hóa đầu cuối, mã độc vẫn có thể đánh cắp toàn bộ nội dung ngay khi chúng được hiển thị.

- Chiếm đoạt tài khoản ngân hàng: Mã độc triển khai các cuộc tấn công Lớp phủ (Overlay Attacks). Nó sẽ tự động tạo ra một giao diện đăng nhập giả mạo và đặt chồng lên ứng dụng ngân hàng thật. Mọi thông tin đăng nhập (Username, Password) mà nạn nhân nhập vào đều bị thu thập và chuyển thẳng về máy chủ C2 (Command and Control) của hacker, gây ra thiệt hại tài chính nghiêm trọng.

Hiện Sturnus đang hoành hành mạnh tại khu vực Nam và Trung Âu, song các chuyên gia cảnh báo nguy cơ lan rộng toàn cầu là rất cao. Google xác nhận hệ thống Play Protect không ghi nhận mã độc này trên kho ứng dụng chính thức, củng cố nhận định rằng thói quen tự cài APK từ nguồn không đáng tin cậy là rủi ro chính.

Các chuyên gia an ninh mạng kêu gọi người dùng Android phải tăng cường cảnh giác và thực hiện ngay các biện pháp bảo vệ sau:

- Nói KHÔNG với việc cài đặt ứng dụng từ các website và nguồn không xác định.

- Luôn giữ kích hoạt chức năng bảo mật Google Play Protect.

- Cực kỳ hạn chế cấp quyền Trợ năng (Accessibility) cho bất kỳ ứng dụng nào không phải ứng dụng hệ thống hoặc không rõ nguồn gốc.

- Bổ sung các phần mềm bảo mật di động uy tín để có thêm lớp phòng thủ.

TN (SHTT)