Phần Lan cảnh báo chiến dịch tấn công mã độc trên Android nhắm đến tài khoản ngân hàng
Cơ quan Giao thông và Truyền thông Phần Lan (Traficom) vừa đưa ra cảnh báo về một chiến dịch phát tán mã độc trên Android đang diễn ra với mục tiêu nhắm đến các tài khoản ngân hàng trực tuyến.
Tin nhắn lừa đảo cài đặt mã độc
Traficom báo cáo rằng nhiều trường hợp khách hàng tại nhiều ngân hàng khác nhau của quốc gia này đã nhận được các tin nhắn SMS bằng tiếng Phần Lan và hướng dẫn người nhận gọi đến một số điện thoại nhất định. Đáng chú ý, số điện thoại này trông có vẻ như đến từ một nhà cung cấp dịch vụ viễn thông tại Phần Lan. Các tác nhân đe dọa sẽ trả lời các cuộc gọi như vậy và hướng dẫn nạn nhân cài đặt ứng dụng phòng chống virus McAfee.
Hình 1. Ví dụ về tin nhắn lừa đảo.
Tuy nhiên, ứng dụng này có chứa mã độc và cho phép những kẻ tấn công xâm nhập tài khoản ngân hàng của nạn nhân. “Liên kết tải xuống cung cấp một ứng dụng .apk. Đây không phải là phần mềm chống vi-rút mà là phần mềm độc hại được cài đặt trên điện thoại”, Traficom cho biết.
Tập đoàn tài chính OP - một nhà cung cấp dịch vụ tài chính lớn tại Phần Lan cũng đưa ra cảnh báo trên trang web của mình về những tin nhắn lừa đảo mạo danh ngân hàng, cơ quan chính phủ hoặc nhà cung cấp dịch vụ thanh toán như MobilePay.
Cảnh sát Phần Lan nhấn mạnh sự nguy hiểm của chiến dịch tấn công này và cảnh báo rằng phần mềm độc hại cho phép tin tặc có thể đăng nhập vào tài khoản ngân hàng của nạn nhân và chuyển tiền trái phép. Trong một trường hợp được ghi nhận đã có nạn nhân bị mất 95.000 Euro (102.000 USD).
Traficom cho biết chiến dịch chỉ nhắm mục tiêu đến các thiết bị Android và không có chuỗi lây nhiễm riêng cho người dùng iPhone của Apple.
Hình 2. Tổng quan về cuộc tấn công.
Mối liên hệ với trojan Vultur
Mặc dù chính quyền Phần Lan chưa xác định được loại mã độc và cũng như chia sẻ bất kỳ mã băm hoặc ID nào đối với các tệp APK độc hại, nhưng các cuộc tấn công tương tự với các nhà phân tích mà công ty an ninh mạng Fox-IT (Hà Lan) đã báo cáo gần đây liên quan đến phiên bản mới của trojan Vultur.
Theo đó, phiên bản mới Vultur sử dụng các cuộc tấn công smishing (hình thức tấn công phi kỹ thuật thông qua SMS: Tin nhắn văn bản có thể chứa các liên kết như trang web độc hại, địa chỉ, email hoặc số điện thoại) và cuộc gọi điện thoại để thuyết phục mục tiêu tải xuống ứng dụng McAfee Security giả mạo, ứng dụng này cung cấp các payload độc hại thành ba chức năng riêng biệt để trốn tránh phát hiện.
Các tính năng mới nhất của nó bao gồm các hoạt động quản lý tệp mở rộng, lạm dụng dịch vụ trợ năng, ngăn chặn các ứng dụng cụ thể thực thi trên thiết bị, vô hiệu hóa Keyguard và cung cấp thông báo tùy chỉnh trên thanh trạng thái.
OP cho biết họ không yêu cầu khách hàng chia sẻ dữ liệu nhạy cảm nào qua điện thoại hoặc cài đặt bất kỳ ứng dụng nào để có thể nhận hoặc hủy thanh toán, vì vậy những yêu cầu tương tự phải được báo ngay cho bộ phận dịch vụ khách hàng của ngân hàng hoặc cơ quan chức năng sở tại.
Google trước đây đã cho rằng công cụ chống vi-rút tích hợp sẵn của Android là Play Protect có khả năng tự động bảo vệ khỏi các phiên bản độc hại của Vultur đã biết, vì vậy các chuyên gia bảo mật để bảo vệ an toàn người dùng nên kích hoạt tính năng này.
Ngoài ra, người dùng nên chủ động thường xuyên thay đổi mật khẩu cho các dịch vụ đang sử dụng trên thiết bị. Các tin tặc có thể đánh cắp mật khẩu nếu người dùng đăng nhập vào các dịch vụ, ứng dụng khi đã bị lây nhiễm phần mềm độc hại.
Theo Tạp chí An toàn thông tin