Mới đây, công ty bảo mật Cybereason đã phát hiện ra loại malware nguy hiểm trên nền tảng Android có tên là EventBot. Mã độc này có khả năng nhắm tới 200 ứng dụng tài chính khác nhau gồm các phần mềm ngân hàng, dịch vụ chuyển tiền, ví điện tử được mã hóa như Paypal Business, Revolut, Barclays, CapitalOne, HSBC, Santander, TransferWise,… và Coinbase.
Mã độc EventBot ngụy trang dưới danh nghĩa các phần mềm nổi tiếng như Adobe Flash, Microsoft Word,… giả mạo. (Ảnh: Cybereason)
“Mã độc mới này rất có tiềm năng để trở thành một phiên bản phần mềm độc hại nguy hiểm hơn trên di động nếu được cải tiến liên tục. Chúng có thể khai thác các tính năng trọng yếu trên hệ điều hành và nhắm vào ứng dụng tài chính”, nhóm nghiên cứu tại Cybereason cho hay.
Chiến dịch tấn công bằng mã độc EventBot được phát hiện lần đầu vào tháng 3/2020. Mã độc này ngụy trang dưới danh nghĩa các phần mềm nổi tiếng như Adobe Flash, Microsoft Word,… giả mạo, và có mặt trên các gian hàng ứng dụng cho Android giả mạo hoặc các website không minh bạch.
Mã độc EventBot có thể khai khác dịch vụ trợ năng của Android để thu thập mã khóa màn hình. (Ảnh: Shutterstock)
Sau khi cài đặt, mã độc sẽ yêu cầu thêm các quyền truy cập trên thiết bị, bao gồm: truy cập vào phần Cài đặt, đọc nội dung trên thẻ nhớ ngoài, gửi và nhận tin nhắn SMS, chạy nền, tự khởi chạy sau khi hệ thống được khởi động lại.
Nếu người dùng vô ý cấp các phân quyền theo yêu cầu này của mã độc, EventBot sẽ bắt đầu ghi lại các tổ hợp phím do người dùng thao tác trên màn hình, thu thập thông báo khi có ứng dụng khác được cài đặt và xem nội dung từ ứng dụng đang mở trên màn hình.
Đáng chú ý, EventBot còn có thể khai khác dịch vụ trợ năng của Android để thu thập mã khóa màn hình, sau đó chuyển toàn bộ dữ liệu thu thập được dưới dạng đã mã hóa tới máy chủ do hacker kiểm soát.
Khả năng phân tích tin nhắn SMS (tin nhắn văn bản) giúp mã độc này có thể vượt qua các bước bảo mật hai lớp sử dụng SMS. (Ảnh: Sciencenews18)
Ngoài ra, khả năng phân tích tin nhắn SMS (tin nhắn văn bản) giúp mã độc này có thể vượt qua các bước bảo mật hai lớp sử dụng SMS, giúp tin tặc truy cập vào ví tiền điện tử và đánh cắp tài khoản trong ngân hàng của nạn nhân một cách dễ dàng.
Những ứng dụng chứa mã độc EventBot hiện chưa được phát hiện trên Play Store chính chủ của Google, do đó các nhà nghiên cứu một lần nữa khuyến cáo người dùng chỉ nên cài đặt ứng dụng từ các kho phần mềm Play Store chính thức, tránh tải và cài đặt ứng dụng từ các nguồn không đáng tin cậy.
