Trong thời gian vừa qua, xuất hiện dòng mã độc trên hệ điều hành Android hoạt động với mục đích ăn trộm thông tin, chiếm đoạt tài khoản ngân hàng của người dùng tại Việt Nam.

Mã độc với tên gọi “MB.Fishing_113VN” được hacker giả dạng dưới danh nghĩa Bộ Công an Việt Nam. Sau khi người dùng sử dụng trình duyệt trên điện thoại Android để truy cập trang web với địa chỉ 84113113vn[.]com sẽ hiển thị trang web giả mạo Bộ Công an có nội dung như sau:

Website giả mạo Cổng thông tin điện tử Bộ Công an - Thành phố Đà Nẵng

Các liên kết trong trang dẫn người dùng tới các trang khác bao gồm: trang tải file có phần mở rộng .apk, trang điền thông tin tài khoản ngân hàng bao gồm đầy đủ thông tin như: tên ngân hàng, họ tên, số chứng minh nhân dân, tên đăng nhập và mật khẩu.

Form cho người dùng nhập thông tin ngân hàng

Tiến hành phân tích file .apk được tải xuống từ liên kết trong 84113113vn[.]com.

Bước đầu xem xét qua file manifest.xml, ta thấy mã độc này yêu cầu các quyền như: đọc tin nhắn, đọc lịch sử cuộc gọi, đọc danh bạ …

Ứng dụng yêu cầu rất nhiều quyền bao gồm cả đọc tin nhắn trên điện thoại

Tiếp tục phân tích mã nguồn ta thấy các đoạn code có chức năng đọc tin nhắn ngay khi nhận được, tin nhắn trong hộp thư đến của người dùng, danh bạ người dùng.

Chức năng đọc tin nhắn của người dùng

Ngoài ra mã độc này còn thực hiện một số thao tác như làm tối màn hình, tắt chuông điện thoại nhằm mục đích tránh bị người dùng phát hiện khi có tin nhắn đến.

Chức năng Tắt chuông điện thoại
Chứng năng Làm tối màn hình điện thoại

Với loại mã độc trên, kịch bản tấn công người dùng như sau.

Bước 1: tiếp cận nạn nhân thông qua các kênh phát tán như các web tải game, mạng xã hội… khiến  người dùng tin tưởng tải về và cài đặt file .apk có chứa mã độc.

Bước 2: Nạn nhân bị lừa dẫn tới form điền thông tin ngân hàng vào website giả mạo do hacker dựng lên.

Bước 3: Hacker sau khi có được thông tin ngân hàng của nạn nhân, thực hiện giao dịch với ngân hàng.

Bước 4: Ngân hàng gửi tin nhắn xác thực OTP về điện thoại cho nạn nhân, tin nhắn này được chuyển tiếp cho hacker, đồng thời chuông điện thoại và màn hình không hiển thị khiến nạn nhân không biết là có tin nhắn tới. Hacker thường thực hiện hành vi này vào buổi đêm nhằm hạn chế trường hợp tin nhắn thông báo tới trong khi nạn nhân đang sử dụng điện thoại.

Bước 5: Hacker sau khi có được mã OTP, hoàn thành việc giao dịch. Chiếm được tài khoản ngân hàng của nạn nhân.

Kết luận:

Trong bài viết này, ta có thể thấy rằng nguyên nhân chủ yếu của việc hacker có thể tấn công thành công tài khoản ngân hàng của người dùng, xuất phát từ việc người dùng tin tưởng và nhập thông tin cá nhân vào ứng dụng. Việc hacker lấy hình ảnh Bộ Công an nhằm có được lòng tin từ người dùng, nhắm vào các nạn nhân chưa có ý thức sử dụng Internet an toàn.

Hãy cẩn thận với những thông tin trên Internet để có cuộc sống số lành mạnh!

AUTHOR: DƯƠNG ĐÌNH TÂN