Độc Hại Trên Ứng Dụng: Trojan Ngân Hàng Anatsa và Các Biện Pháp Phòng Ngừa

06/03/2025
2 mins read
Nội dung
Khám Phá và Triển Khai Ứng Dụng Độc Hại
Phân Tích Kỹ Thuật về Trojan Ngân Hàng Anatsa
Phân Bố Địa Lý và Đối Tượng Mục Tiêu
Xóa Bỏ và Phản Ứng
Khuyến Nghị An Ninh
Các Cuộc Điều Tra Đang Diễn Ra

Khám Phá và Triển Khai Ứng Dụng Độc Hại

  • Giấu Mặt: Ứng dụng độc hại đã tự giới thiệu mình như một trình quản lý tệp và đọc tài liệu chức năng, với khả năng xem trước tài liệu và tích hợp lưu trữ đám mây.
  • Vượt Qua Kiểm Tra An Ninh: Vẻ bề ngoài hợp pháp cho phép ứng dụng này vượt qua các kiểm tra an ninh tự động trong quá trình thẩm định ban đầu.
  • Lấy Payload: Sau khi cài đặt, ứng dụng đã thực hiện một quy trình lấy payload đa giai đoạn. Người dùng được yêu cầu cấp quyền truy cập dưới vỏ bọc cải thiện chức năng.

Phân Tích Kỹ Thuật về Trojan Ngân Hàng Anatsa

  • Tấn Công Overlay và Thu Thập Thông Tin Đăng Nhập: Anatsa hoạt động thông qua các cuộc tấn công overlay và thu thập thông tin đăng nhập. Khi người dùng khởi chạy các ứng dụng ngân hàng, trojan chồng lên các màn hình đăng nhập giả, giống hệt với giao diện hợp pháp. Thông tin đăng nhập bị thu thập sẽ được truyền tới các máy chủ do tin tặc kiểm soát.
  • Kỹ Thuật Trốn Tránh Nâng Cao: Phần mềm độc hại bao gồm các kỹ thuật trốn tránh tiên tiến, bao gồm kích hoạt payload trễ và các kênh truyền thông được mã hóa.
  • Đảm Bảo Tồn Tại: Sau khi nhiễm, nó thiết lập khả năng tồn tại thông qua các kiểm tra lặp lại quyền dịch vụ truy cập và giấu kín sự hiện diện của nó bằng cách sử dụng các biểu tượng ứng dụng hệ thống chung.

Phân Bố Địa Lý và Đối Tượng Mục Tiêu

  • Nhắm Đến Toàn Cầu: Giao diện đa ngôn ngữ của ứng dụng—hỗ trợ tiếng Anh, Tây Ban Nha, Đức và Pháp—cho thấy một chiến lược nhắm đến rộng rãi nhằm vào người dùng toàn cầu.
  • Tỷ Lệ Nhiễm Cao: Dữ liệu từ phòng thí nghiệm ban đầu cho thấy tỷ lệ nhiễm tập trung ở các khu vực có mức độ sử dụng ngân hàng di động cao.

Xóa Bỏ và Phản Ứng

  • Xóa khỏi Play Store: Google đã xóa ứng dụng khỏi Play Store trong vòng 48 giờ kể từ khi ThreatLabz thông báo.
  • Cần Xóa Thủ Công: Tuy nhiên, sự hiện diện kéo dài của ứng dụng độc hại (ước tính 8 tuần trước khi phát hiện) nêu bật những lo ngại về khoảng trống trong quy trình sàng lọc tự động. Google đã khởi động một chiến dịch gỡ bỏ hàng loạt cho các thiết bị bị ảnh hưởng, mặc dù việc xóa thủ công vẫn cần thiết cho những người dùng đã tắt cập nhật tự động.

Khuyến Nghị An Ninh

  • Thực Hiện Đặt Lại Nhà Máy: Các chuyên gia an ninh khuyên người dùng bị ảnh hưởng thực hiện đặt lại nhà máy để loại bỏ các thành phần phần mềm độc hại còn sót lại.
  • Theo Dõi Tài Khoản Tài Chính: Người dùng nên theo dõi tài khoản tài chính để phát hiện các giao dịch không được ủy quyền.
  • Kích Hoạt Google Play Protect: Kích hoạt Google Play Protect với quét theo thời gian thực để phát hiện và chặn phần mềm độc hại đã biết.
  • Tránh Cấp Quyền Truy Cập: Tránh cấp quyền truy cập cho các ứng dụng không quen thuộc.

Các Cuộc Điều Tra Đang Diễn Ra

  • Các Tác Nhân Đe Dọa: Các cuộc điều tra đang diễn ra nhằm xác định các tác nhân đứng sau chiến dịch này, với bằng chứng sơ bộ cho thấy có liên quan đến các băng nhóm tội phạm mạng ở Đông Âu.
Tags