Ảnh minh họa. Cyber Security News

Theo các chuyên gia từ hãng bảo mật Cyfirma, GhostGrab có thể đánh cắp thông tin đăng nhập tài khoản ngân hàng, chặn tin nhắn xác thực (OTP) và lén khai thác sức mạnh xử lý của điện thoại để đào tiền ảo. Điểm đáng chú ý là mã độc này không chỉ nhằm chiếm đoạt tiền trực tiếp, mà còn tận dụng thiết bị bị nhiễm để tạo lợi nhuận cho tin tặc theo nhiều cách khác nhau.

Giả mạo ứng dụng hợp pháp để đánh cắp dữ liệu

GhostGrab thường ẩn mình trong các ứng dụng được chia sẻ qua đường link quảng cáo hoặc các kho ứng dụng không chính thức, giả mại ứng dụng ngân hàng, ví điện tử, hoặc công cụ “dọn rác – tối ưu điện thoại” để đánh lừa người dùng. Khi được cài đặt, ứng dụng sẽ yêu cầu nhiều quyền nhạy cảm như đọc tin nhắn, hiển thị nội dung lên màn hình hoặc cho phép truy cập sâu vào hệ thống.

Sau khi được cấp quyền, mã độc sẽ hiển thị các cửa sổ giả mạo giao diện ngân hàng, yêu cầu người dùng nhập thông tin đăng nhập hoặc mã xác thực. Những dữ liệu này lập tức được gửi về máy chủ do tin tặc kiểm soát. GhostGrab còn có khả năng đọc và chặn tin nhắn chứa mã OTP – yếu tố bảo mật thường được ngân hàng dùng để xác nhận giao dịch.

Không chỉ dừng lại ở việc đánh cắp dữ liệu, phần mềm độc hại này còn âm thầm kích hoạt một phần mềm chạy ngầm để “đào” tiền ảo, khiến điện thoại trở nên chậm, nóng và nhanh hết pin. Các chuyên gia cho rằng chính mô hình “hai trong một”, vừa đánh cắp thông tin, vừa khai thác thiết bị đang biến GhostGrab thành một trong những loại mã độc nguy hiểm nhất hiện nay trên Android.

Xu hướng tấn công mới trên di động

Theo Cyfirma, chiến dịch phát tán GhostGrab ban đầu được ghi nhận tại Ấn Độ, nhưng đang có dấu hiệu mở rộng sang nhiều khu vực khác thông qua quảng cáo và liên kết độc hại. Mục tiêu chủ yếu là người dùng thường xuyên giao dịch tài chính trên điện thoại, đặc biệt là những người có thói quen cài ứng dụng từ nguồn không chính thống.

Giới chuyên gia cảnh báo, việc tội phạm mạng kết hợp nhiều mục tiêu trong cùng một mã độc là xu hướng mới, giúp chúng vừa chiếm đoạt tiền, vừa khai thác tài nguyên thiết bị để sinh lợi lâu dài. Ở những quốc gia có lượng người dùng Android lớn như Việt Nam, nguy cơ lây lan dạng tấn công này là hoàn toàn có thật, nhất là khi người dùng ít để ý đến quyền truy cập của ứng dụng.

GhostGrab cho thấy ranh giới giữa “mã độc tài chính” và “mã độc khai thác tài nguyên” đang dần bị xóa nhòa. Trong bối cảnh giao dịch qua điện thoại ngày càng phổ biến, việc nhận diện sớm những chiến dịch tấn công kiểu này không chỉ giúp bảo vệ người dùng cá nhân mà còn là cảnh báo quan trọng cho các tổ chức tài chính, ngân hàng trong việc củng cố hệ thống bảo mật và giám sát rủi ro từ thiết bị đầu cuối.

An Lâm (Theo Cyber Security News)