"Tự động đánh cắp dữ liệu như thông tin đăng nhập, số dư tài khoản, đồng thời tự động thực hiện các giao dịch ngân hàng và chuyển tiền" - Đó là những điều đáng sợ mà các chuyên gia đang cảnh báo về Xenomor v3.
Đây là phiên bản mới của phần mềm độc hại nguy hiểm Xenomorph trên hệ điều hành Android, nó đã được phát hiện với khả năng đánh cắp thông tin đăng nhập từ 400 ứng dụng ngân hàng khác nhau.
Xenomorph do công ty an ninh mạng ThreatFabric phát hiện lần đầu tiên vào tháng Hai năm ngoái, với phiên bản ban đầu là một trojan tấn công ngân hàng, được phân phối thông qua các ứng dụng độc hại trên Google Play.
Nó trở nên đặc biệt nguy hiểm khi có thể lợi dụng các lớp bảo vệ chồng chéo trên 56 ứng dụng ngân hàng ở châu Âu để đánh cắp thông tin đăng nhập của người dùng và rút cạn tài khoản của họ.
Tới tháng 6/2022, Xenomorph v2 được phát hành với một cuộc "đại tu" lớn về mã code, cho phép nó trở nên linh hoạt hơn.
Mới đây, công ty ThreatFabric đã một lần nữa phát hiện phiên bản thứ ba của Xenomorph, gọi là Xenomorph v3. Hiện có tới 400 ngân hàng và tổ chức tài chính đến từ Hoa Kỳ, Canada, Ấn Độ và một số quốc gia châu Âu đang trở thành mục tiêu của phần mềm nguy hiểm này.
Nguồn ảnh: Shutterstock
Xenomor v3
Xenomor v3 bổ sung vô số tính năng mới khiến nó trở thành mối đe dọa lớn hơn nhiều so với các phiên bản trước. Phần mềm độc hại này có khả năng tự động đánh cắp dữ liệu như thông tin đăng nhập, số dư tài khoản, đồng thời, nó cũng có thể thực hiện các giao dịch ngân hàng và chuyển tiền.
Trong báo cáo về vấn đề này, ThreatFabric giải thích rằng, "Xenomorph có thể thực hiện toàn bộ chuỗi gian lận (từ lây nhiễm phần mềm độc hại cho tới rút tiền) một cách hoàn toàn tự động, khiến nó trở thành trojan độc hại và nguy hiểm nhất hiện đang len lỏi trong hệ điều hành Android. Bên cạnh 400 ngân hàng và tổ chức tài chính đã trở thành mục tiêu, giờ đây nó còn có thể đánh cắp tiền từ một số loại ví điện tử".
Sau khi xem xét các mẫu của Xenomor v3, ThreatFabric đã phát hiện ra một trang web chuyên quảng cáo phiên bản mới nhất của phần mềm độc hại. Điều đó có nghĩa Xenomor v3 sắp tới có thể sẽ được bán cho tội phạm mạng.
Hiện tại, nó đang được phân phối thông qua nền tảng "Zombinder" trên cửa hàng Google Play. Nền tảng này đặc biệt nguy hiểm do tin tặc đã tìm ra cách thêm phần mềm độc hại này vào các ứng dụng Android hợp pháp.
Nguồn ảnh: Shutterstock
Qua mặt phương pháp xác thực đa yếu tố
Nếu điều đó vẫn chưa đủ tệ thì Xenomor v3 còn cho phép tội phạm mạng tự động trích xuất thông tin đăng nhập, kiểm tra số dư tài khoản, đánh cắp tiền… từ điện thoại Android bị nhiễm.
Khung ATS của phần mềm độc hại cho phép nó qua mặt được phương thức xác thực đa yếu tố (MFA) thường dùng để ngăn chặn các loại giao dịch tự động này.
Thay vì sử dụng tin nhắn văn bản SMS cho MFA trong ứng dụng ngân hàng của mình, bạn có thể sử dụng ứng dụng xác thực như Google Authenticator hoặc Microsoft Authenticator để thay thế. Tuy nhiên, không phải tất cả các ngân hàng hiện cung cấp tùy chọn như vậy.
Xenomorph v3 thậm chí còn bao gồm một trình đánh cắp cookie, có thể lấy đi cookie trên điện thoại của bạn thông qua Trình quản lý cookie của Android. Nó thực hiện điều này bằng cách khởi chạy cửa sổ trình duyệt của một dịch vụ hợp pháp, lừa nạn nhân nhập thông tin đăng nhập của họ.
Sau đó, với các cookie của phiên đăng nhập này trong tay, tin tặc có thể chiếm quyền điều khiển website, từ đo chiếm đoạt tài khoản của nạn nhân.
Nguồn ảnh: Google
Làm gì để đảm bảo an toàn?
Các chuyên gia an ninh mạng khuyến cáo, bạn cần cực kỳ cẩn trọng khi cài đặt các ứng dụng trên điện thoại Android, ngay cả khi chúng đến từ các cửa hàng ứng dụng chính thức. Đồng thời, bạn nên giới hạn tổng số ứng dụng đã cài đặt trên điện thoại.
Khi cài đặt ứng dụng mới, cần kiểm tra xếp hạng của chúng và đọc các bài đánh giá trên Google Play. Ngoài ra, bạn có thể tìm kiếm các bài đánh giá khác bên ngoài (trên website hoặc nền tảng video), thông qua công cụ tìm kiếm.
Việc xem xét thông tin về nhà cung cấp ứng dụng này cũng là một cách hay để giúp bạn xác định đó có phải là phần mềm hợp pháp hay không.
Bên cạnh đó, nên bật Google Play Protect vì nó có thể quét các ứng dụng hiện có và các ứng dụng mới mà bạn đang có ý định cài đặt để phát hiện phần mềm độc hại.
Xin lưu ý, đây có thể sẽ chưa phải lần cuối cùng chúng ta nghe về Xenomorph v3, nhất là khi tổ chức tạo ra nó đang tìm cách biến phần mềm độc hại này thành một dịch vụ trả phí để tội phạm mạng có thể sử dụng trong các cuộc tấn công của chúng.
