Phần mềm độc hại Android có thể ở một số dạng đặc biệt khó chịu. Một số chủng tộc thu thập thông tin từ thiết bị mà nó đang sử dụng với hy vọng tìm thấy dữ liệu nhạy cảm, trong khi những người khác tìm cách cấp cho tin tặc quyền kiểm soát thiết bị. Một loại phần mềm độc hại Android mới, được gọi là “Anubis”, tìm cách làm nhiều hơn một chút:nó cố gắng bắt khi bạn đăng nhập vào dịch vụ ngân hàng của mình và gửi lại mật khẩu cũng như dữ liệu nhạy cảm khác cho tin tặc ban đầu. Vậy nó thực hiện điều này như thế nào và bạn có thể làm gì để ngăn chặn nó?
Cách nó lây lan
Có một lượng đáng lo ngại các ứng dụng trông hợp pháp trên cửa hàng Google Play chứa mã độc hại và Anubis cũng không ngoại lệ. Anubis thường được nhập lậu thông qua các ứng dụng chính thức cung cấp dịch vụ ngân hàng hoặc mua sắm.
Các ứng dụng độc hại này quản lý để tránh các đợt kiểm tra bảo mật và quét chống vi-rút của Google Play bằng cách không chứa bất kỳ phần mềm độc hại nào để bắt đầu; Tuy nhiên, nó chứa mã mà sau này có thể tìm nạp phần mềm độc hại từ máy chủ điều khiển và lệnh. Sau khi ứng dụng được kiểm tra bảo mật và vượt qua từng bước, ứng dụng sẽ có sẵn để người dùng tải xuống.
Sau khi người dùng tải xuống ứng dụng có mã tìm nạp Anubis trên đó, ứng dụng sẽ liên hệ với máy chủ và tải tải xuống. Tuy nhiên, nó vẫn chưa hoàn toàn sẵn sàng; Anubis cần một số quyền tự do trên hệ thống để thực hiện công việc của mình. Để đạt được sự tự do này, nó cần yêu cầu người dùng cấp cho nó quyền để làm những gì nó muốn.
Tuy nhiên, thay vì né tránh yêu cầu bắt buộc này, Anubis thực sự yêu cầu nhiều quyền hơn, nhưng nó sử dụng tên “Google Play Protect” khi yêu cầu. Tất nhiên, khi người dùng nhìn thấy hộp thoại bật lên yêu cầu thêm quyền, họ tin rằng đó chỉ là Google Play đang tự cập nhật. Họ chấp nhận các quyền cao cấp, do đó cho phép Anubis thực hiện công việc của mình.
Anubis làm gì
Anubis được gọi là BankBot. Chúng được thiết kế để theo dõi người dùng nhập chi tiết ngân hàng của họ và sau đó sao chép chi tiết để tin tặc sử dụng. Thông thường, BankBots đạt được điều này bằng cách tìm kiếm các ứng dụng ngân hàng được cài đặt trên điện thoại. Nếu tìm thấy một cái, nó sẽ chuẩn bị một lớp phủ trông giống với trang đăng nhập của ứng dụng. Khi người dùng khởi động ứng dụng, phần mềm độc hại sẽ hiển thị lớp phủ mà người dùng nhập thông tin chi tiết của họ vào.
Anubis đặc biệt vì nó không sử dụng lớp phủ. Thay vào đó, nó trực tiếp đọc các tổ hợp phím mà người dùng thực hiện trên bàn phím ảo. Đây được gọi là “keylogging” và là một yếu tố quan trọng trong việc thu thập thông tin từ PC trong nhiều năm nay.
Anubis cũng có khả năng chụp ảnh màn hình của ứng dụng và gửi cho hacker. Điều này giúp thực hiện bất kỳ bước bảo mật trực quan nào mà keylogger không thể phát hiện được. Nó cũng hiệu quả để theo dõi những gì người dùng nhập trên bàn phím phần mềm, vì các phím thường có tín hiệu trực quan khi họ được chạm vào. Sự kết hợp của các cuộc tấn công này giúp tin tặc thu thập đủ thông tin chi tiết để truy cập vào tài khoản ngân hàng của nạn nhân.
Dodging the Attack
Các cuộc tấn công bắt đầu do mọi người tải xuống các ứng dụng có giao diện chính thức đã được gắn với mã tải xuống phần mềm độc hại. Mấu chốt ở đây là các ứng dụng được đề cập chỉ có trong cửa hàng được vài ngày và có rất ít đánh giá và lượt tải xuống của người dùng.
Trong thời đại mà ngay cả các ứng dụng Google Play cũng có thể được tải bằng mã có thể tải xuống phần mềm độc hại, tốt nhất nên chơi nó an toàn và không tải xuống bất kỳ ứng dụng nào có số lượng người đánh giá thấp và / hoặc chỉ mới được phát hành gần đây. Ngay cả các ứng dụng trông chính thức cũng có khả năng chứa mã độc!
Tương tự, nếu bạn thấy màn hình cấp quyền cho Google Play Protect xuất hiện, yêu cầu cấp quyền để quan sát các hành động của bạn và truy xuất nội dung cửa sổ, thì đừng cho phép; rất có thể đây là Anubis giả danh Google Play.
Ngân hàng bảo mật
Anubis là một ví dụ đặc biệt khó chịu về phần mềm độc hại Android, nhưng nó có thể rất dễ bị né tránh. Hãy cẩn thận với những gì bạn tải xuống và đừng tải các ứng dụng chưa xuất hiện trong cửa hàng lâu, cho dù nó có chính thức như thế nào đi nữa.
Điều này có khiến bạn cảnh giác hơn với các ứng dụng Google Play không? Hãy cho chúng tôi biết bên dưới.