Một chiến dịch lây nhiễm phần mềm độc hại mới mang tên BeatBanker vừa được phát hiện, sử dụng một phương thức đặc biệt để duy trì hoạt động trên các thiết bị Android. Phần mềm độc hại này chủ yếu nhắm vào người dùng tại Brazil.
BeatBanker không chỉ đánh cắp thông tin đăng nhập ngân hàng mà còn chiếm quyền các giao dịch tiền điện tử và âm thầm chạy trình đào tiền điện tử ở chế độ nền. Điểm đáng lo ngại của mã độc này là việc sử dụng vòng lặp âm thanh (audio loop) để né tránh phát hiện, giúp nó duy trì hoạt động trên thiết bị bị nhiễm trong thời gian dài.
Kỹ thuật lây nhiễm và hoat động của BeatBanker
Cuộc tấn công BeatBanker bắt đầu bằng một chiêu thao túng tâm lý người dùng. Kẻ tấn công tạo ra một trang web giả mạo gần giống với Google Play Store, nhằm dụ nạn nhân tải về một ứng dụng độc hại được ngụy trang dưới tên INSS Reembolso - một ứng dụng của cơ quan chính phủ Brazil được nhiều người tin tưởng. Sau đó, ứng dụng giả mạo này yêu cầu người dùng cấp quyền cài đặt, từ đó khiến họ vô tình tải phần mềm độc hại xuống thiết bị.
Theo báo cáo của hãng bảo mật Kaspersky, việc cài đặt một tệp APK được cho là ứng dụng Starlink sẽ kích hoạt các bước kiểm tra môi trường chống phân tích và sau đó hiển thị màn hình cập nhật Play Store giả mạo, cho phép phát tán thêm phần mềm độc hại. Tệp APK độc hại này chứa một thư viện chia sẻ (libludwwiuh.so) có nhiệm vụ giải mã một tệp ELF khác, sau đó tải tệp DEX.
Phương thức này cho phép phần mềm độc hại thực thi mà không cần lưu trực tiếp trên hệ thống tệp, nhờ đó tránh bị phát hiện bởi các phần mềm diệt virus truyền thống. Theo Kaspersky, phần mềm độc hại còn sử dụng công cụ Java Native Interface (JNI) để tiếp tục thực thi, qua đó vượt qua sự phát hiện và cảnh báo từ sản phẩm bảo mật di động.
Sau khi kích hoạt, phần mềm độc hại hiển thị một giao diện giống Google Play Store, khiến nạn nhân tin rằng ứng dụng INSS Reembolso cần được cập nhật. Người dùng sẽ được hướng dẫn nhấn vào nút “Update”, hành động này sẽ âm thầm tải xuống một gói mã độc đào tiền mã hóa, làm tiêu hao tài nguyên và pin của thiết bị nạn nhân.
Đáng chú ý, BeatBanker sử dụng một kỹ thuật duy trì hoạt động khá sáng tạo: Phát một tệp âm thanh gần như không thể nghe thấy theo vòng lặp. Vòng lặp khiến hệ điều hành không thể chấm dứt tiến trình độc hại, vì thiết bị “tưởng rằng” đang phát nội dung đa phương tiện.
Chiến thuật này giúp mã độc vẫn duy trì hoạt động trên thiết bị nạn nhân ngay cả khi hệ thống chuyển sang trạng thái nhàn rỗi. Tệp âm thanh chỉ dài 5 giây và chứa các từ tiếng Trung, khiến việc phát hiện thông qua hành vi người dùng thông thường trở nên khó khăn.
Các phiên bản BeatBanker mới nhất được phát hiện gần đây đã thay thế mô-đun ngân hàng bằng phần mềm độc hại BTMOB RAT, có thể tạo điều kiện cho việc xâm nhập toàn bộ thiết bị, ghi lại màn hình, đánh cắp thông tin đăng nhập, ghi lại thao tác bàn phím, truy cập camera và theo dõi GPS. Với mối đe dọa tiềm tàng này có thể lan rộng ra ngoài Brazil.
Khuyến nghị phòng tránh phần mềm độc hại BeatBanker
- Không nên cài đặt APK từ các cửa hàng ứng dụng bên ngoài, chỉ tải ứng dụng từ nguồn đáng tin cậy như Google Play Store chính thức và kiểm tra kỹ thông tin nhà phát triển.
- Cần kiểm tra quyền truy cập của ứng dụng: Thận trọng với các ứng dụng yêu cầu quá nhiều quyền, đặc biệt là quyền trợ năng (accessibility) hoặc cài đặt APK từ bên thứ ba.
- Luôn cập nhật thiết bị và ứng dụng, giúp khắc phục những lỗ hổng đã biết và tồn tại.
Kết luận
Chiến dịch phần mềm độc hại tinh vi này cho thấy tin tặc đang liên tục đổi mới kỹ thuật tấn công, sử dụng những công cụ và chiến lược mới để né tránh các hệ thống phát hiện.
Các tổ chức và cá nhân cần duy trì cảnh giác, đồng thời triển khai các biện pháp bảo mật hiệu quả nhằm bảo vệ dữ liệu tài chính và thông tin cá nhân trước những mối đe dọa ngày càng phức tạp.
