Một chiến dịch phần mềm độc hại mới mang tên BeatBanker vừa được phát hiện, sử dụng một phương thức đặc biệt để duy trì hoạt động trên các thiết bị Android. Phần mềm độc hại này chủ yếu nhắm vào người dùng tại Brazil.

Nó không chỉ đánh cắp thông tin đăng nhập ngân hàng mà còn chiếm quyền các giao dịch tiền mã hóa và âm thầm chạy trình đào tiền điện tử ở chế độ nền. Điểm đáng lo ngại của BeatBanker là việc sử dụng vòng lặp âm thanh (audio loop) để né tránh phát hiện, giúp phần mềm độc hại duy trì hoạt động trên thiết bị bị nhiễm trong thời gian dài.

Kỹ thuật lừa đảo và giai đoạn lây nhiễm ban đầu

Cuộc tấn công BeatBanker bắt đầu bằng một chiêu thao túng tâm lý người dùng. Kẻ tấn công tạo ra một trang web giả mạo gần giống với Google Play Store, nhằm dụ nạn nhân tải về một ứng dụng độc hại được ngụy trang dưới tên INSS Reembolso - một ứng dụng của cơ quan chính phủ Brazil được nhiều người tin tưởng. Sau đó, ứng dụng giả mạo này yêu cầu người dùng cấp quyền cài đặt, từ đó khiến họ vô tình tải phần mềm độc hại xuống thiết bị.

Tệp APK độc hại chứa một thư viện chia sẻ (libludwwiuh.so) có nhiệm vụ giải mã một tệp ELF khác, sau đó tải tệp DEX. Phương thức này cho phép phần mềm độc hại thực thi mà không cần lưu trực tiếp trên hệ thống tệp, nhờ đó tránh bị phát hiện bởi các phần mềm diệt virus truyền thống. Theo SecureList, phần mềm độc hại còn sử dụng công cụ Java Native Interface (JNI) để tiếp tục thực thi, qua đó vượt qua các sản phẩm bảo mật di động.

Sau khi được kích hoạt, phần mềm độc hại hiển thị một giao diện giống Google Play Store, khiến nạn nhân tin rằng ứng dụng INSS Reembolso cần được cập nhật. Người dùng sẽ được hướng dẫn nhấn vào nút “Update”, và hành động này sẽ âm thầm tải xuống một gói mã độc đào tiền mã hóa, làm tiêu hao tài nguyên và pin của thiết bị nạn nhân.

Duy trì hoạt động bằng vòng lặp âm thanh

BeatBanker sử dụng một kỹ thuật duy trì hoạt động khá sáng tạo: phát một tệp âm thanh gần như không thể nghe thấy theo vòng lặp. Vòng lặp khiến hệ điều hành không thể chấm dứt tiến trình độc hại, vì thiết bị “tưởng rằng” đang phát nội dung đa phương tiện.

Chiến thuật này giúp phần mềm độc hại vẫn duy trì hoạt động trên thiết bị nạn nhân ngay cả khi hệ thống chuyển sang trạng thái nhàn rỗi. Tệp âm thanh chỉ dài 5 giây và chứa các từ tiếng Trung, khiến việc phát hiện thông qua hành vi người dùng thông thường trở nên khó khăn.

Khuyến nghị phòng tránh

Để bảo vệ khỏi BeatBanker và các mối đe dọa tương tự, người dùng chỉ tải ứng dụng từ nguồn đáng tin cậy: sử dụng Google Play Store chính thức và kiểm tra kỹ thông tin nhà phát triển.

Kiểm tra quyền truy cập của ứng dụng: thận trọng với các ứng dụng yêu cầu quá nhiều quyền, đặc biệt là quyền trợ năng (accessibility) hoặc cài đặt APK từ bên thứ ba.

Luôn cập nhật thiết bị và ứng dụng: các bản cập nhật bảo mật giúp khắc phục những lỗ hổng đã biết.

Chiến dịch phần mềm độc hại tinh vi này cho thấy tin tặc đang liên tục đổi mới kỹ thuật tấn công, sử dụng những công cụ và chiến lược mới để né tránh các hệ thống phát hiện.

Các tổ chức và cá nhân cần duy trì cảnh giác, đồng thời triển khai các biện pháp bảo mật hiệu quả nhằm bảo vệ dữ liệu tài chính và thông tin cá nhân trước những mối đe dọa ngày càng phức tạp.

Theo Cyberpress