Mã độc có tên Godfather đã tấn công người dùng tại 16 quốc gia và cố gắng đánh cắp thông tin đăng nhập tài khoản của hơn 400 ngân hàng cũng như nền tảng trao đổi tiền điện tử.
Các chuyên gia bảo mật tại Group-IB vừa phát hiện ra một loại mã độc có tên "Godfather" trên hàng loạt ứng dụng Android.
Theo thông tin từ các nhà nghiên cứu, mã độc này nhắm mục tiêu hơn 400 ứng dụng ngân hàng và tiền điện tử ở 16 quốc gia. Cụ thể, từ tháng 6/2021 đến tháng 10/2022 đã có 49 công ty Mỹ, 31 công ty tại Thổ Nhĩ Kỳ và 30 công ty tại Tây Ban Nha trở thành nạn nhân của GodFather. Các công ty dịch vụ tài chính ở Canada, Pháp, Đức, Anh, Ý và Ba Lan cũng bị ảnh hưởng.
GodFather giả mạo các ứng dụng ngân hàng mục tiêu. Ảnh: Group-IB
Được biết, sau khi được cài đặt trên thiết bị, những ứng dụng độc hại chứa mã độc này sẽ giả mạo các phần mềm hợp pháp, từ đó yêu cầu người dùng cấp quyền truy cập vào dịch vụ trợ năng.
Sau khi nạn nhân chấp thuận yêu cầu, phần mềm độc hại có thể tự cấp tất cả các quyền mà nó cần để thực hiện hành vi nguy hiểm. Điều này bao gồm quyền truy cập vào tin nhắn SMS và thông báo, ghi màn hình, danh bạ, thực hiện cuộc gọi, ghi vào bộ nhớ ngoài và đọc trạng thái thiết bị.
Hơn nữa, dịch vụ trợ năng còn bị lạm dụng để ngăn người dùng xóa trojan, lấy cắp OTP của Google Authenticator (mật khẩu dùng một lần), xử lý lệnh và đánh cắp mã PIN và mật khẩu.
Phần mềm độc hại cũng có thể tạo thông báo giả mạo từ các ứng dụng được cài đặt trên thiết bị của nạn nhân để đưa nạn nhân đến trang lừa đảo.
Do đó, để tránh bị tấn công bởi loại mã độc nguy hiểm trên, các chuyên gia tại BleepingComputer khuyên rằng người dùng chỉ nên tải xuống ứng dụng từ cửa hàng CH Play. Đồng thời, người dùng hãy đảm bảo công cụ Play Protect luôn hoạt động để có thể sớm phát hiện ra những mối nguy hiểm.
Ngoài ra, người dùng cũng được khuyên nên xem xét các quyền mà mỗi ứng dụng yêu cầu sau khi cài đặt. Nếu các quyền hạn không phù hợp, bạn hãy từ chối hoặc xóa ứng dụng ngay lập tức.
Bên cạnh đó, bạn cũng không nên nhấp vào các liên kết được gửi kèm trong email hoặc tin nhắn văn bản. Nếu nghi ngờ điện thoại đã nhiễm phần mềm độc hại GodFather, bạn hãy ngay lập tức thực hiện 2 bước sau
- Vô hiệu hóa quyền truy cập mạng
- Đóng băng mọi tài khoản ngân hàng đã truy cập trước đó
Các nhà nghiên cứu đã phát hiện một ứng dụng trên Google Play có liên kết với phần mềm độc hại GodFather là Currency Converter Plus.
Do đó, nếu đã lỡ cài đặt ứng dụng này trên điện thoại, bạn hãy truy cập vào Settings (cài đặt) - Apps (ứng dụng) - Manage apps (quản lý ứng dụng), sau đó nhấn Uninstall để gỡ bỏ.
Các chuyên gia bảo mật tại Group-IB vừa phát hiện ra một loại mã độc có tên "Godfather" trên hàng loạt ứng dụng Android.
Theo thông tin từ các nhà nghiên cứu, mã độc này nhắm mục tiêu hơn 400 ứng dụng ngân hàng và tiền điện tử ở 16 quốc gia. Cụ thể, từ tháng 6/2021 đến tháng 10/2022 đã có 49 công ty Mỹ, 31 công ty tại Thổ Nhĩ Kỳ và 30 công ty tại Tây Ban Nha trở thành nạn nhân của GodFather. Các công ty dịch vụ tài chính ở Canada, Pháp, Đức, Anh, Ý và Ba Lan cũng bị ảnh hưởng.
GodFather giả mạo các ứng dụng ngân hàng mục tiêu. Ảnh: Group-IB
Được biết, sau khi được cài đặt trên thiết bị, những ứng dụng độc hại chứa mã độc này sẽ giả mạo các phần mềm hợp pháp, từ đó yêu cầu người dùng cấp quyền truy cập vào dịch vụ trợ năng.
Sau khi nạn nhân chấp thuận yêu cầu, phần mềm độc hại có thể tự cấp tất cả các quyền mà nó cần để thực hiện hành vi nguy hiểm. Điều này bao gồm quyền truy cập vào tin nhắn SMS và thông báo, ghi màn hình, danh bạ, thực hiện cuộc gọi, ghi vào bộ nhớ ngoài và đọc trạng thái thiết bị.
Hơn nữa, dịch vụ trợ năng còn bị lạm dụng để ngăn người dùng xóa trojan, lấy cắp OTP của Google Authenticator (mật khẩu dùng một lần), xử lý lệnh và đánh cắp mã PIN và mật khẩu.
Phần mềm độc hại cũng có thể tạo thông báo giả mạo từ các ứng dụng được cài đặt trên thiết bị của nạn nhân để đưa nạn nhân đến trang lừa đảo.
Do đó, để tránh bị tấn công bởi loại mã độc nguy hiểm trên, các chuyên gia tại BleepingComputer khuyên rằng người dùng chỉ nên tải xuống ứng dụng từ cửa hàng CH Play. Đồng thời, người dùng hãy đảm bảo công cụ Play Protect luôn hoạt động để có thể sớm phát hiện ra những mối nguy hiểm.
Ngoài ra, người dùng cũng được khuyên nên xem xét các quyền mà mỗi ứng dụng yêu cầu sau khi cài đặt. Nếu các quyền hạn không phù hợp, bạn hãy từ chối hoặc xóa ứng dụng ngay lập tức.
Bên cạnh đó, bạn cũng không nên nhấp vào các liên kết được gửi kèm trong email hoặc tin nhắn văn bản. Nếu nghi ngờ điện thoại đã nhiễm phần mềm độc hại GodFather, bạn hãy ngay lập tức thực hiện 2 bước sau
- Vô hiệu hóa quyền truy cập mạng
- Đóng băng mọi tài khoản ngân hàng đã truy cập trước đó
Các nhà nghiên cứu đã phát hiện một ứng dụng trên Google Play có liên kết với phần mềm độc hại GodFather là Currency Converter Plus.
Do đó, nếu đã lỡ cài đặt ứng dụng này trên điện thoại, bạn hãy truy cập vào Settings (cài đặt) - Apps (ứng dụng) - Manage apps (quản lý ứng dụng), sau đó nhấn Uninstall để gỡ bỏ.
Theo Genk