Báo cáo công bố ngày 30/11 vừa qua của Công ty An ninh mạng Promon cho thấy, phần mềm độc hại FjordPhantom bắt đầu tấn công người dùng kể từ đầu tháng 9 năm 2023 và các quốc gia mà phần mềm độc hại này nhắm mục tiêu bao gồm Việt Nam, Malaysia, Thái Lan, Indonesia và Singapore. Cho đến nay, phần mềm độc hại FjordPhantom đã lừa đảo và chiếm đoạt của các nạn nhân khoảng 280.000 USD.
Phần mềm độc hại Android mới này đã sử dụng công nghệ ảo hóa để nhắm mục tiêu vào các ứng dụng ngân hàng của người dùng. Các nhà nghiên cứu an ninh mạng cho rằng, kỹ thuật này chưa từng được quan sát thấy trong bất kỳ phần mềm độc hại nào trước đây. FjordPhantom lây lan thông qua các dịch vụ nhắn tin và kết hợp phần mềm độc hại dựa trên ứng dụng với tấn công phi kỹ thuật (social engineering) để đánh lừa khách hàng đang sử dụng các ứng dụng ngân hàng.
Nghiên cứu sâu hơn, các chuyên gia an ninh mạng nhận thấy phần mềm độc hại này được phát tán chủ yếu qua email, tin nhắn SMS và các ứng dụng nhắn tin. Người dùng bị lừa tải xuống một ứng dụng ngân hàng hợp pháp nhưng trong đó chứa phần mềm độc hại FjordPhantom.
Khi ứng dụng này được cài đặt, những kẻ tấn công, đóng giả là đại diện dịch vụ khách hàng, hướng dẫn người dùng các bước để chạy ứng dụng. Phần mềm độc hại sử dụng kỹ thuật ảo hóa để tạo vùng chứa ảo để chạy ứng dụng này và kẻ tấn công có thể theo dõi hành động của người dùng và đánh cắp thông tin đăng nhập của họ.
Phần mềm độc hại FjordPhantom sử dụng các giải pháp ảo hóa để vượt qua các hàng rào bảo vệ nghiêm ngặt của hệ điều hành Android, cho phép các ứng dụng khác nhau hoạt động trong môi trường được bảo vệ nghiêm ngặt đó.
Điều này tạo điều kiện cho kẻ tấn công giành được quyền truy cập vào các tệp và bộ nhớ, tiến hành gỡ lỗi và chèn mã vào các ứng dụng khác. Cách tiếp cận này bao gồm các giải pháp ảo hóa tải mã riêng của chúng vào một quy trình mới trước khi tải mã của ứng dụng được lưu trữ. Do đó, phần mềm độc hại có thể trốn tránh các phương pháp phát hiện chèn mã truyền thống vì nó không sửa đổi ứng dụng gốc.
Phần mềm độc hại FjordPhantom tận dụng kỹ thuật đọc, ghi hoặc thực thi đoạn mã bất kỳ lên một chương trình (hay còn gọi là kỹ thuật hooking framework) để trốn tránh khả năng phát hiện của hệ thống bảo vệ SafetyNet của Google, phát hiện trình đọc màn hình và loại bỏ các hộp thoại cảnh báo người dùng về hoạt động độc hại đang diễn ra trên hệ thống. Ngoài ra, phần mềm độc hại ghi lại các hành động khác nhau được thực hiện bởi các ứng dụng được nhắm mục tiêu, biểu thị sự phát triển tích cực và gợi ý khả năng nhắm mục tiêu của các ứng dụng khác trong tương lai.
Các nhà nghiên cứu bảo mật cho rằng FjordPhantom là một phần mềm độc hại tinh vi trên Android được sử dụng để thực hiện hành vi lừa đảo trong thế giới thực.
Dưới đây là 5 giải pháp để người dùng Android tự bảo vệ mình khỏi phần mềm độc hại, đặc biệt là các phần mềm độc hại nhắm mục tiêu vào các ứng dụng ngân hàng:
1. Chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy: Cách an toàn nhất để tải ứng dụng cho thiết bị Android là tải xuống từ Cửa hàng Google Play chính thức. Các ứng dụng trong Cửa hàng Play đã được Google xem xét và ít có khả năng độc hại hơn. Nếu người dùng cần tải xuống ứng dụng từ nguồn của bên thứ ba, hãy nhớ nghiên cứu và chỉ tải xuống ứng dụng từ các trang web có uy tín.
2. Hãy cẩn thận về các quyền mà người dùng cấp cho ứng dụng: Khi người dùng cần cài đặt một ứng dụng, ứng dụng đó sẽ yêu cầu người dùng cấp quyền truy cập vào một số dữ liệu hoặc tính năng nhất định trên thiết bị. Chỉ cấp cho ứng dụng những quyền cần thiết để chúng hoạt động. Ví dụ: Nếu người dùng đang cài đặt một ứng dụng ngân hàng, ứng dụng đó sẽ cần có quyền truy cập vào danh bạ và lịch sử cuộc gọi của người dùng. Tuy nhiên, không có lý do gì nó cần có quyền truy cập vào ảnh hoặc vị trí của người dùng.
3. Luôn cập nhật thiết bị: Google thường xuyên phát hành các bản cập nhật cho Android nhằm khắc phục các lỗ hổng bảo mật. Đảm bảo cài đặt các bản cập nhật này ngay khi chúng có sẵn. Người dùng có thể bật cập nhật tự động trong cài đặt của thiết bị.
4. Cài đặt ứng dụng bảo mật di động: Ứng dụng bảo mật di động có thể giúp bảo vệ thiết bị của người dùng khỏi phần mềm độc hại bằng cách quét các ứng dụng và tệp để tìm mối đe dọa. Nó cũng có thể chặn các trang web độc hại và các nỗ lực lừa đảo. Hiện có rất nhiều ứng dụng bảo mật di động khác nhau, vì vậy hãy thực hiện một số nghiên cứu để tìm ra ứng dụng phù hợp.
5. Hãy thận trọng với những gì chúng ta nhấp vào: Hãy cẩn thận khi nhấp vào các liên kết trong email hoặc tin nhắn văn bản, ngay cả khi chúng có vẻ là từ một người nào đó mà chúng ta biết. Các liên kết này có thể đưa người dùng đến các trang web độc hại có thể cài đặt phần mềm độc hại lên thiết bị.
