Anatsa: Trojan Ngân Hàng Android Tấn Công Mỹ & Canada Qua Google Play

09/07/2025
5 mins read

Một chiến dịch mới đầy tinh vi đã được ghi nhận liên quan đến trojan ngân hàng Android Anatsa, đánh dấu cuộc tấn công lớn thứ ba của mã độc này nhắm vào khách hàng ngân hàng di động tại Hoa KỳCanada. Hoạt động mới nhất này cho thấy sự tiến hóa trong bối cảnh đe dọa của mã độc và sự tập trung bền bỉ của những kẻ vận hành vào các tổ chức tài chính ở Bắc Mỹ, với việc phân phối xảy ra thông qua Google Play Store chính thức.

Nội dung
Anatsa: Trojan Ngân Hàng Android Tinh Vi
Cơ Chế Hoạt Động Của Anatsa
Thiết Lập Hồ Sơ Nhà Phát Triển Hợp Lệ
Giai Đoạn Phát Triển Cơ Sở Người Dùng
Triển Khai Cập Nhật Độc Hại
Nhận Danh Sách Mục Tiêu và Thực Hiện Tấn Công
Chiến Dịch Gần Đây Nhất Nhắm vào Bắc Mỹ
Kỹ Thuật Đánh Lừa và Né Tránh Phát Hiện
Tác Động và Khuyến Nghị

Anatsa: Trojan Ngân Hàng Android Tinh Vi

Anatsa là một trojan chiếm đoạt thiết bị (device-takeover trojan) có tính năng tiên tiến cao, được thiết kế để cung cấp cho tội phạm mạng quyền kiểm soát toàn diện các thiết bị bị nhiễm. Mã độc này sử dụng nhiều vector tấn công khác nhau, bao gồm:

  • Đánh cắp thông tin đăng nhập thông qua các cuộc tấn công overlay (lớp phủ): Anatsa hiển thị một lớp phủ giả mạo lên trên ứng dụng ngân hàng hợp pháp, đánh lừa người dùng nhập thông tin đăng nhập của họ.
  • Khả năng keylogging: Ghi lại các phím gõ của người dùng, bao gồm tên người dùng, mật khẩu và các thông tin nhạy cảm khác.
  • Chức năng điều khiển từ xa: Cho phép những kẻ vận hành thực hiện các giao dịch gian lận trực tiếp từ các thiết bị bị xâm nhập mà người dùng không hề hay biết.

Công ty an ninh mạng ThreatFabric đã theo dõi các hoạt động của Anatsa từ năm 2020 và nhận định nhóm này là một trong những kẻ vận hành hoạt động mạnh mẽ nhất trong hệ sinh thái tội phạm di động (mobile crimeware ecosystem).

Cơ Chế Hoạt Động Của Anatsa

Mã độc Anatsa tuân theo một mô hình hoạt động nhất quán, được thiết kế để tối đa hóa khả năng tiếp cận người dùng và né tránh phát hiện ban đầu:

  1. Thiết Lập Hồ Sơ Nhà Phát Triển Hợp Lệ

    Hoạt động của Anatsa bắt đầu bằng việc thiết lập các hồ sơ nhà phát triển hợp pháp trên các cửa hàng ứng dụng. Điều này giúp các ứng dụng độc hại vượt qua các quy trình kiểm duyệt ban đầu và xây dựng niềm tin với người dùng. Những kẻ vận hành tải lên các ứng dụng có vẻ như vô hại, chẳng hạn như trình đọc PDF, công cụ dọn dẹp điện thoại hoặc trình quản lý tệp, và chúng hoạt động bình thường sau khi cài đặt ban đầu.

  2. Giai Đoạn Phát Triển Cơ Sở Người Dùng

    Giai đoạn quan trọng xảy ra sau khi các ứng dụng này tích lũy được một lượng lớn người dùng, thường đạt tới hàng nghìn hoặc thậm chí hàng chục nghìn lượt tải xuống. Việc này cho phép ứng dụng trở nên phổ biến và đáng tin cậy hơn trong mắt người dùng và hệ thống kiểm duyệt của cửa hàng ứng dụng.

  3. Triển Khai Cập Nhật Độc Hại

    Tại thời điểm này, các bản cập nhật độc hại được triển khai. Các bản cập nhật này nhúng mã trojan vào ứng dụng, sau đó mã độc này sẽ tải xuống và cài đặt Anatsa như một ứng dụng riêng biệt trên thiết bị của nạn nhân. Kỹ thuật này giúp phân tán chức năng độc hại và làm cho việc phát hiện trở nên khó khăn hơn.

  4. Nhận Danh Sách Mục Tiêu và Thực Hiện Tấn Công

    Sau khi được cài đặt, mã độc Anatsa sẽ nhận danh sách các mục tiêu từ các máy chủ chỉ huy và kiểm soát (command-and-control – C2). Mã độc tập trung chủ yếu vào các tổ chức tài chính và ứng dụng ngân hàng để thực hiện các hành vi đánh cắp thông tin đăng nhập, keylogging, hoặc tự động hóa hoàn toàn các giao dịch gian lận.

Chiến Dịch Gần Đây Nhất Nhắm vào Bắc Mỹ

Chiến dịch mới nhất nhắm vào Bắc Mỹ đã làm nổi bật tham vọng địa lý của Anatsa thông qua một số yếu tố hoạt động chính:

  • Trọng Tâm Chiến Lược: Phương pháp tiếp cận mục tiêu này phản ánh sự tập trung chiến lược của Anatsa vào việc khai thác các tổ chức tài chính và cơ sở khách hàng ở Bắc Mỹ, đánh dấu sự mở rộng địa lý rõ ràng trong hoạt động của chúng.
  • Phân Phối Payload Độc Hại: Chiến dịch đã sử dụng một payload độc hại được ngụy trang dưới dạng “Cập nhật PDF” trong một ứng dụng dropper đọc tệp, cho thấy các chiến thuật kỹ thuật xã hội tinh vi.
  • Thành Công Trên Google Play Store: Ứng dụng dropper đã đạt được khả năng hiển thị đáng kể, xếp hạng trong số ba ứng dụng hàng đầu trong danh mục “Công cụ miễn phí hàng đầu” trên Google Play Store chính thức của Hoa Kỳ trước khi bị gỡ bỏ.
  • Quy Trình Hoạt Động Đã Được Thiết Lập: Ứng dụng tuân thủ mô hình hoạt động đã được chứng minh của Anatsa, ban đầu hoạt động như một công cụ hợp pháp trước khi chuyển đổi thành một nền tảng độc hại khoảng sáu tuần sau khi phát hành.
  • Thời Gian và Tác Động của Chiến Dịch: Cửa sổ phân phối kéo dài từ ngày 24 đến ngày 30 tháng 6, thể hiện một chiến dịch ngắn nhưng có tác động cao, tích lũy được hơn 50.000 lượt tải xuống.
  • Danh Sách Mục Tiêu Mở Rộng: Hoạt động này có danh sách mục tiêu được mở rộng đáng kể, bao gồm nhiều ứng dụng ngân hàng di động hơn trên khắp Hoa Kỳ.

Kỹ Thuật Đánh Lừa và Né Tránh Phát Hiện

Phân tích chiến dịch mới nhất đã tiết lộ việc Anatsa sử dụng các kỹ thuật lừa dối tinh vi, đặc biệt là việc sử dụng các thông báo lớp phủ (overlay messages) hiển thị khi người dùng cố gắng truy cập ứng dụng ngân hàng. Các lớp phủ này thường hiển thị thông báo “Bảo trì theo lịch trình” (Scheduled Maintenance), tuyên bố rằng các cải tiến dịch vụ đang được tiến hành và yêu cầu người dùng kiên nhẫn. Chiến thuật này phục vụ hai mục đích:

  • Che giấu các hoạt động độc hại trong các ứng dụng mục tiêu.
  • Ngăn chặn người dùng liên hệ với bộ phận hỗ trợ khách hàng của ngân hàng, do đó trì hoãn việc phát hiện các hoạt động gian lận.

Mã độc này cũng thể hiện các mô hình hoạt động theo chu kỳ, xen kẽ giữa các giai đoạn phân phối tích cực và các giai đoạn không hoạt động (dormancy periods) để né tránh phát hiện, đồng thời duy trì tỷ lệ thành công cao. Điều này cho phép những kẻ vận hành tối ưu hóa các chiến dịch của chúng, giảm thiểu rủi ro bị gỡ bỏ khỏi các cửa hàng ứng dụng hoặc bị các giải pháp bảo mật phát hiện.

Tác Động và Khuyến Nghị

Sự tinh vi của Anatsa và khả năng của nó trong việc phân phối qua các kênh chính thức như Google Play Store đặt ra một mối đe dọa đáng kể cho người dùng ngân hàng di động và các tổ chức tài chính. Khả năng thực hiện các cuộc tấn công chiếm đoạt thiết bị hoàn chỉnh, kết hợp với các chiến thuật kỹ thuật xã hội khéo léo, cho phép những kẻ tấn công thực hiện các giao dịch gian lận quy mô lớn, gây ra thiệt hại tài chính đáng kể cho cá nhân và các ngân hàng.

Các tổ chức trong lĩnh vực tài chính được khuyến nghị mạnh mẽ xem xét kỹ lưỡng thông tin tình báo được cung cấp và đánh giá các rủi ro tiềm tàng đối với khách hàng và hệ thống của họ. Việc triển khai các biện pháp bảo mật mạnh mẽ, bao gồm xác thực đa yếu tố (MFA), giám sát giao dịch liên tục và giáo dục người dùng về các mối đe dọa kỹ thuật xã hội, là rất cần thiết để giảm thiểu rủi ro từ các trojan ngân hàng tiên tiến như Anatsa.

Người dùng cũng nên cảnh giác cao độ với các ứng dụng tải xuống từ cửa hàng ứng dụng, ngay cả khi chúng xuất hiện từ các nguồn đáng tin cậy. Luôn kiểm tra quyền ứng dụng, đọc đánh giá, và đặc biệt cảnh giác với bất kỳ yêu cầu cập nhật nào có vẻ đáng ngờ hoặc yêu cầu quyền truy cập không hợp lý vào thông tin cá nhân hoặc chức năng thiết bị. Việc cập nhật thường xuyên hệ điều hành và các ứng dụng bảo mật cũng đóng vai trò quan trọng trong việc bảo vệ khỏi các mối đe dọa đang phát triển này.