Ứng dụng chống virus chứa phần mềm độc hại, bạn nên gỡ ngay lập tức
Mới đây, các nhà nghiên cứu bảo mật tại NCC Group đã phát hiện ra một ứng dụng chống virus trên Google Play có chứa phần mềm độc hại SharkBot, chuyên đánh cắp tiền của người dùng.
Phần mềm độc hại SharkBot được phát hiện lần đầu tiên bởi các nhà nghiên cứu bảo mật tại Cleafy vào tháng 10 năm 2021. Sau khi phân tích, họ kết luận SharkBot thuộc loại độc nhất vô nhị vì được trang bị nhiều tính năng xảo quyệt, và không liên quan đến phần mềm độc hại TeaBot hoặc Xenomorph từng được phát hiện trước đó.
Cụ thể, SharkBot được tích hợp hệ thống chuyển tiền tự động (ATS), cho phép kẻ tấn công tự động chuyển tiền ra khỏi tài khoản ngân hàng mà không cần sự can thiệp của con người. Hiện tại, các nhà nghiên cứu bảo mật đã phát hiện SharkBot ẩn mình bên trong một ứng dụng chống virus trên Google Play.
Ứng dụng chống virus có chứa phần mềm độc hại SharkBot.
SharkBot đã sử dụng phương pháp 3 lớp để vượt qua hàng rào kiểm duyệt của Google Play. Đầu tiên là giả dạng như một phần mềm chống virus thông thường, sau khi người dùng cài đặt, ứng dụng sẽ yêu cầu tải xuống các tiện ích bổ sung, đây chính là phiên bản đầy đủ của phần mềm độc hại.
Theo NCC, SharkBot có thể thực hiện “cuộc tấn công lớp phủ” ngay khi phát hiện một ứng dụng ngân hàng đang hoạt động. Cụ thể, phần mềm độc hại sẽ ngay lập tức hiển thị một màn hình đăng nhập gần giống với ứng dụng ngân hàng, khi người dùng nhập tài khoản và mã OTP, tiền trong tài khoản sẽ bị bốc hơi.
Bên cạnh đó, SharkBot còn có khả năng ghi lại tất cả thông tin bạn nhập trên bàn phím, chặn tin nhắn SMS (có chứa mã OTP) và gửi đến máy chủ của kẻ tấn công. Phần mềm này thậm chí còn có thể chiếm quyền điều khiển các thông báo đến, và gửi đến các thông báo do tin tặc kiểm soát.
Hiện tại ứng dụng chống virus bị nhiễm phần mềm độc hại SharkBot đã được tải xuống hơn 1.000 lượt. Do đó, nếu bạn đã cài đặt ứng dụng Antivirus, Super Cleaner giả mạo từ Google Play, hãy xóa nó ngay lập tức bằng cách bấm vào biểu tượng của ứng dụng, sau đó chọn Uninstall (gỡ cài đặt), hoặc khôi phục cài đặt gốc trên điện thoại.
Trước đó không lâu, các nhà nghiên cứu bảo mật cũng đã phát hiện nhiều ứng dụng trên Google Play bị nhiễm trojan ngân hàng TeaBot, chuyên nhắm mục tiêu vào các ứng dụng ngân hàng.
Trojan TeaBot xuất hiện từ năm 2021, cố gắng thu hút người dùng thông qua tin nhắn giả mạo (có chứa các liên kết độc hại). Nhóm nghiên cứu nhận thấy số lượng mục tiêu của TeaBot đã có bước nhảy vọt đáng kể, chủ yếu là các ứng dụng ngân hàng, tiền điện tử và bảo hiểm kỹ thuật số ở Mỹ, châu Âu và Hong Kong.
TeaBot hoạt động bằng cách sử dụng thao túng các dịch vụ trợ năng, cho phép kẻ tấn công theo dõi và tương tác từ xa với điện thoại. QR Code & Barcode - Scanner là một trong những ứng dụng mới nhất bị nhiễm TeaBot, hiện tại nó đã có hơn 10.000 lượt cài đặt.
Nguồn: [Link nguồn]
Tuyên bố được nhóm hacker Lapsus$ đưa ra mới đây cho biết đã đánh cắp thành công lượng lớn dữ liệu cho các thiết bị của Samsung sau đó phát tán lên mạng Internet.