Mã độc khét tiếng Anatsa vừa bị phát hiện đã xâm nhập hơn 50.000 thiết bị Android khi ngụy trang dưới dạng một ứng dụng văn phòng tưởng chừng vô hại mang tên “All Document Reader” .
Mã độc này được thiết kế với mục tiêu duy nhất chính là rút cạn tiền từ tài khoản ngân hàng của người dùng.
Trên thực tế, Anatsa không phải là cái tên xa lạ trong thế giới tội phạm mạng. Xuất hiện từ năm 2020, mã độc này từng hoạt động dưới nhiều tên gọi khác như TeaBot hay Toddler, đứng sau hàng loạt cuộc tấn công tài chính nghiêm trọng, đặc biệt tại các quốc gia châu Âu.
Tuy nhiên, điểm đáng lo ngại trong chiến dịch mới nhất vừa được các chuyên gia tại Zscaler ThreatLabz công bố vào chiều 3/2 chính là khả năng "ẩn thân" cực kỳ tinh vi của nó.
Thay vì đính kèm mã độc ngay khi mới đăng tải - điều dễ dàng bị các hệ thống quét của Google phát hiện - tin tặc đã sử dụng chiến thuật xâm nhập thầm lặng.
Cụ thể, tin tặc đưa một ứng dụng hoàn toàn sạch lên Play Store để chiếm lòng tin của người dùng và vượt qua các rào cản kiểm duyệt ban đầu. Chỉ sau khi đã yên vị trên điện thoại của hàng chục nghìn nạn nhân, mã độc mới thực sự được kích hoạt thông qua một bản cập nhật ngầm từ máy chủ bên ngoài.
Thủ đoạn này khiến ngay cả những người dùng cẩn trọng nhất cũng khó lòng đề phòng.
Một khi đã kiểm soát được thiết bị, Anatsa bắt đầu triển khai kịch bản tấn công đầy nguy hiểm bằng kỹ thuật lớp phủ giả mạo.
Khi nạn nhân mở các ứng dụng ngân hàng hợp pháp, mã độc sẽ ngay lập tức chồng một giao diện giả giống hệt lên trên. Trong sự thiếu cảnh giác, người dùng vô tình nhập tên đăng nhập và mật khẩu vào chính cái bẫy mà tin tặc đã giăng sẵn.
Mọi thông tin nhạy cảm này sau đó được chuyển thẳng về tay tội phạm mạng, cho phép chúng chiếm quyền điều khiển tài khoản và thực hiện các giao dịch chuyển tiền bất chính.
Trước mối đe dọa nghiêm trọng này, Google đã nhanh chóng gỡ bỏ "All Document Reader" khỏi Play Store ngay sau khi nhận được cảnh báo.
Tuy nhiên, nguy cơ vẫn còn hiện hữu đối với những ai đã lỡ cài đặt ứng dụng này. Nếu người dùng đang sở hữu phần mềm trên, hãy thực hiện việc gỡ bỏ ngay lập tức, đồng thời tiến hành đổi mật khẩu các ứng dụng tài chính và theo dõi sát sao lịch sử giao dịch trong những ngày tới.
Người dùng cần lưu ý tuyệt đối không bao giờ vội vàng tải xuống bất kỳ ứng dụng nào nếu chưa kiểm tra kỹ các đánh giá và nguồn gốc, bởi ngay cả một công cụ đọc tài liệu đơn giản cũng có thể được tội phạm cài mã độc để chiếm đoạt tài sản.
