Sự xâm nhập của phần mềm độc hại này được nhóm ThreatLabs của Zscaler phát hiện khi đang điều tra một làn sóng lây nhiễm mới với phần mềm độc hại ẩn núp (trojan) ngân hàng Anatsa (Tea Bot) nhắm vào các thiết bị Android.

Trong khi hầu hết các ứng dụng độc hại (hơn 66%) bao gồm các thành phần phần mềm quảng cáo, thì phần mềm độc hại Android phổ biến nhất là Joker, mà các nhà nghiên cứu phát hiện thấy trong gần 25% số ứng dụng được phân tích.

Một khi phần mềm độc hại Joker được cài đặt trên thiết bị, nó có thể đọc và gửi tin nhắn văn bản, chụp ảnh màn hình, thực hiện cuộc gọi điện thoại và đánh cắp danh bạ, truy cập thông tin thiết bị và đăng ký người dùng các dịch vụ cao cấp.

Một tỷ lệ nhỏ hơn các ứng dụng bao gồm phần mềm ngụy trang, một thuật ngữ được sử dụng để chỉ ứng dụng độc hại ngụy trang thành thứ gì đó mà không gây ra bất kỳ nghi ngờ nào.

Loại phần mềm độc hại này có thể giả dạng một ứng dụng hợp pháp và hoạt động như quảng cáo. Tuy nhiên, nó thực hiện các hoạt động độc hại ngầm, chẳng hạn như đánh cắp thông tin đăng nhập, thông tin ngân hàng hoặc các dữ liệu nhạy cảm khác (vị trí, tin nhắn SMS). Tội phạm mạng cũng có thể sử dụng phần mềm ngụy trang để phát tán các phần mềm độc hại khác.

Các nhà nghiên cứu của Zscaler cũng phát hiện ra một biến thể của phần mềm độc hại Joker có tên là Harly, xuất hiện dưới dạng một ứng dụng hợp pháp nhưng có phần mềm độc hại ẩn sâu hơn trong mã nguồn để tránh bị phát hiện trong quá trình đánh giá.

Trong một báo cáo hồi tháng 3 năm nay, các nhà nghiên cứu của công ty Human Security cho biết, Harly có thể ẩn mình trong các ứng dụng phổ biến, như trò chơi, hình nền, đèn pin và trình chỉnh sửa ảnh.

Trojan Anatsa tiếp tục phát triển 

Theo Zscaler, phiên bản mới nhất của trojan ngân hàng Anatsa đã mở rộng phạm vi nhắm mục tiêu, tăng số lượng ứng dụng ngân hàng và tiền điện tử bị nó đánh cắp dữ liệu từ 650 lên 831 ứng dụng.

Những kẻ điều hành phần mềm độc hại sử dụng một ứng dụng có tên 'Trình đọc Tài liệu - Trình quản lý Tệp' làm mồi nhử, ứng dụng này chỉ tải xuống phần mềm độc hại Anatsa sau khi cài đặt, để tránh bị Google đánh giá mã nguồn.

Chiến dịch mới nhất đã chuyển từ việc tải mã động DEX từ xa được sử dụng trước đây sang cài đặt trực tiếp bất kỳ loại dữ liệu nào như văn bản, hình ảnh, âm thanh, video (payload), giải nén mã từ các tệp dữ liệu dạng văn bản nhẹ, dễ đọc cho cả con người và máy tính, được sử dụng để lưu trữ và trao đổi dữ liệu giữa máy chủ và ứng dụng web (JSON) và sau đó xóa chúng.

Về khả năng né tránh, nó sử dụng các kho lưu trữ định dạng file được sử dụng bởi hệ điều hành Android để phân phối và cài đặt các ứng dụng di động (APK) bị lỗi để phá vỡ phân tích tĩnh, giải mã chuỗi dựa trên tiêu chuẩn mã hóa dữ liệu (DES) thời gian chạy và phát hiện giả lập. Tên gói và hàm băm cũng được thay đổi định kỳ.

Về khả năng, Anatsa lạm dụng quyền Trợ năng trên Android để tự động cấp cho mình các đặc quyền mở rộng.

Phần mềm độc hại này lấy các trang lừa đảo từ máy chủ của hơn 831 ứng dụng, hiện đang bao phủ cả Đức và Hàn Quốc, đồng thời một mô-đun keylogger cũng đã được thêm vào để đánh cắp dữ liệu chung.

Chiến dịch Anatsa mới nhất này diễn ra sau một đợt tấn công gần đây khác do ThreatFabric phát hiện vào tháng 7, khi trojan này xâm nhập vào Google Play dưới dạng trình xem PDF, đạt hơn 50.000 lượt tải xuống.

Các chiến dịch Anatsa trước đây bao gồm một cuộc tấn công vào PDF và Trình đọc mã QR vào tháng 5/2024 với 70.000 lượt lây nhiễm, một cuộc tấn công vào Phone Cleaner và PDF vào tháng 02/2024 với 150.000 lượt tải xuống, và một cuộc tấn công khác vào PDF Viewer vào tháng 3/2023 với 30.000 lượt cài đặt.

Làn sóng ứng dụng độc hại trên Google Play

Ngoài các ứng dụng Anatsa độc hại, Zscaler phát hiện lần này, hầu hết đều là các họ phần mềm quảng cáo, tiếp theo là 'Joker', 'Harly' và nhiều loại phần mềm ngụy trang khác.

"ThreatLabz đã phát hiện sự gia tăng mạnh mẽ các ứng dụng phần mềm quảng cáo trên Cửa hàng Google Play cùng với các phần mềm độc hại như Joker, Harly và trojan ngân hàng như Anatsa", nhà nghiên cứu Himanshu Sharma của Zscaler giải thích.

"Ngược lại, đã có sự suy giảm đáng kể các họ phần mềm độc hại như Facestealer và Coper."

Công cụ và ứng dụng cá nhân hóa chiếm hơn một nửa số mồi nhử được sử dụng để phát tán các ứng dụng này, vì vậy hai danh mục này, cùng với giải trí, nhiếp ảnh và thiết kế, nên được coi là có nguy cơ cao.

Tổng cộng, 77 ứng dụng độc hại, bao gồm cả những ứng dụng chứa Anatsa, đã được tải xuống 19 triệu lần từ Google Play.

Zscaler báo cáo rằng Google đã xóa tất cả các ứng dụng độc hại mà họ phát hiện lần này khỏi Cửa hàng Play sau khi báo cáo.

Người dùng Android phải đảm bảo dịch vụ Play Protect của họ đang hoạt động trên thiết bị để đánh dấu các ứng dụng độc hại cần xóa.

Trong trường hợp bị nhiễm trojan Anatsa, cần thực hiện các bước riêng biệt với ngân hàng để bảo vệ tài khoản hoặc thông tin đăng nhập ngân hàng điện tử có khả năng bị xâm phạm.

Để giảm thiểu rủi ro từ các trình tải phần mềm độc hại trên Google Play, hãy chỉ tin tưởng các nhà phát hành uy tín, đọc ít nhất một vài đánh giá của người dùng và chỉ cấp các quyền liên quan trực tiếp đến chức năng cốt lõi của ứng dụng.

Hà Linh