Mã độc mới trên Android lăm le "vét" sạch tiền: Tự khóa máy, không thể gỡ bỏ

00:00 / 0:00

Chuẩn

Tốc độ đọc

Cơn ác mộng mới mang tên Sturnus trên Android: Không thể gỡ bỏ, tự động khóa máy và giả danh Google Chrome.

Giới bảo mật vừa phát hiện một chủng mã độc ngân hàng mới có tên Sturnus, sở hữu khả năng "qua mặt" các ứng dụng nhắn tin bảo mật cao như WhatsApp hay Signal và nhắm trực tiếp vào ví tiền của người dùng Android, đặc biệt là những ai có thói quen cài đặt ứng dụng từ nguồn bên ngoài (file APK).

Người dùng Android đối mặt với mã độc ngân hàng Sturnus mới.

Theo các nhà nghiên cứu từ MTI Security và ThreatFabric, Sturnus không lây lan qua kho ứng dụng chính thống Google Play Store mà tấn công người dùng thông qua các tệp APK trôi nổi. Mã độc này thường ngụy trang dưới dạng các bản cập nhật giả mạo của Google Chrome hoặc các ứng dụng phổ biến khác để đánh lừa người dùng cài đặt.

Ngay khi xâm nhập thành công, Sturnus lập tức yêu cầu và chiếm quyền quản trị của thiết bị. Điều này tạo ra một lớp lá chắn giúp nó ngăn chặn người dùng gỡ cài đặt, thậm chí cho phép hacker khóa thiết bị từ xa nếu bị phát hiện.

Điểm đáng sợ nhất của Sturnus là khả năng lách qua các giao thức mã hóa đầu cuối. Dù bạn đang sử dụng các ứng dụng siêu bảo mật, Sturnus lại sử dụng quyền truy cập màn hình cấp cao (Accessibility Services) để "đọc" nội dung tin nhắn ngay khi chúng hiển thị, biến lớp mã hóa trở nên vô nghĩa trước những con mắt tò mò.

Đối với các ứng dụng tài chính, Sturnus sử dụng kỹ thuật "tấn công lớp phủ" (overlay attacks). Nó tạo ra một giao diện đăng nhập giả mạo đè lên ứng dụng ngân hàng thật. Khi người dùng nhập tên và mật khẩu, thông tin này sẽ được gửi thẳng về máy chủ của hacker, dẫn đến nguy cơ mất quyền kiểm soát tài khoản và mất tiền.

Những màn tấn công đầy nguy hiểm của Sturnus.

Hiện tại, Sturnus đang hoạt động mạnh tại khu vực Nam và Trung Âu, nhưng các chuyên gia cảnh báo đây là dấu hiệu cho một chiến dịch quy mô toàn cầu sắp tới. Google cũng đã lên tiếng xác nhận rằng hệ thống Google Play Protect của họ sạch bóng loại mã độc này, đồng nghĩa với việc mối đe dọa chủ yếu đến từ việc người dùng tự tải ứng dụng bên ngoài.

Để bảo vệ bản thân, người dùng Android được khuyến cáo tránh xa các file APK từ các trang web không rõ nguồn gốc, đảm bảo Google Play Protect luôn được kích hoạt và hạn chế cấp quyền Trợ năng (Accessibility) cho các ứng dụng không thực sự cần thiết. Ngoài ra, nên cài đặt thêm các ứng dụng diệt virus uy tín làm lớp bảo vệ thứ hai.