Phần mềm độc hại trên Android lấy cắp tiền từ tài khoản PayPal của người dùng

09:00 | 25/12/2018 | HACKER / MALWARE

Ngày 11/12/2018, Công ty an ninh mạng ESET (Mỹ) đã phát hiện một loại trojan Android mới ẩn mình dưới ứng dụng tối ưu hóa thời lượng pin có thể lấy cắp tiền từ tài khoản PayPal của người dùng, ngay cả khi sử dụng công nghệ xác thực hai yếu tố.

Ứng dụng độc hại có tên Optimization Battery hiện mới chỉ có trên các gian hàng ứng dụng của bên thứ ba và chưa chính thức có mặt trên CH Play. Vì vậy, tính đến thời điểm hiện tại số thiết bị có khả năng bị lây nhiễm còn hạn chế. Tuy nhiên, ứng dụng này nên được cảnh báo với mức độ cực kỳ nguy hiểm. Bởi nó có thể tự động chuyển tiền từ PayPal của người dùng mà không cho phép nạn nhân có bất kỳ cơ hội nào ngăn chặn.

Điều này xảy ra vì trong quá trình cài đặt, ứng dụng yêu cầu quyền truy cập vào quyền "Accessibility" của Android - một tính năng rất nguy hiểm cho phép ứng dụng tự động thực hiện các thao tác chạm màn hình và tương tác hệ điều hành. Trojan này ẩn mình cho đến khi người dùng truy cập ứng dụng hoặc hiển thị thông báo giả lừa người dùng truy cập PayPal. Sau khi gười dùng đăng nhập và vượt qua lớp bảo mật xác thực hai yếu tố, ngay lập tức trojan này sẽ bắt đầu thực hiện chuyển tiền trái phép.

"Toàn bộ quá trình giao dịch chỉ mất khoảng 5 giây và người dùng sẽ không có cách nào khả thi để can thiệp kịp thời", chuyên gia phân tích mã độc Lukas Stefanko của ESET cho biết. Mặc định, nếu tài khoản người dùng còn tiền, trojan sẽ tự động chuyển số tiền 1.000 đơn vị tiền tệ mà tài khoản PayPal đang sử dụng. Video dưới cho thấy toàn bộ quá trình diễn ra rất nhanh mà không cần phải xác thực.

Bên cạnh chức năng lấy cắp tiền từ PayPal, trojan này có thể thực hiện các tác vụ:

Lấy cắp các thông tin mà người dùng đăng nhập vào các ứng dụng khác (Google Play, WhatsApp, Viber, Skype và Gmail).
Giả mạo website ngân hàng điện tử để đánh cắp các thông tin đăng nhập.
Chặn, gửi, xóa tin nhắn SMS và thay đổi ứng dụng SMS mặc định (để vượt qua xác thực hai yếu tố dựa trên SMS).
Lấy cắp thông tin danh bạ và thực hiện chuyển tiếp cuộc gọi.
Lấy thông tin danh sách các ứng dụng đã cài đặt.
Cài đặt và chạy các ứng dụng có chủ đích.
Mở giao tiếp socket.

Hầu hết các tính năng này đều được thực hiện do ứng dụng độc hại được cấp quyền dùng Accessibility trên Android. Người dùng cần hết sức cẩn thận trước khi phê duyệt bất kỳ ứng dụng nào yêu cầu được cấp quyền này, đặc biệt là những ứng dụng từ nguồn gốc không chính thức.

ESET đã thông báo cho PayPal về vấn đề này và yêu cầu công ty chặn tài khoản PayPal của tác giả phần mềm độc hại. Người dùng PayPal bị ảnh hưởng bởi ứng dụng này có thể yêu cầu trả lại tiền thông qua Trung tâm giải quyết của PayPal.

Tuấn Anh

‹ › ×

Tin liên quan

Cảnh báo mã độc NanoCore tấn công mạng qua email

14:00 | 26/10/2018

Mã độc NanoCore - một dạng mã độc mới vừa được các chuyên gia bảo mật của công ty CP An toàn thông tin CyRadar phát hiện, được tin tặc sử dụng để tiến hành các vụ tấn công mạng trong thời gian gần đây.

Một số thủ thuật phòng tránh phần mềm độc hại

20:00 | 04/02/2019

Ngày nay, việc bảo vệ máy tính hoặc các thiết bị di động của người dùng trước các rủi ro lây nhiễm mã độc là một thách thức không nhỏ, do sự phát triển của hàng triệu chương trình phần mềm độc hại với nhiều biến thể tinh vi. Để giảm thiểu các rủi ro này, người dùng cần thực hiện ngăn chặn các mối đe dọa tiềm ẩn và thường xuyên cập nhật các bản vá bảo mật. 10 thủ thuật dưới đây sẽ giúp người dùng đảm bảo an toàn cho thiết bị của mình.

Tính năng trên trình duyệt UC gây nguy hiểm cho người dùng

10:00 | 08/04/2019

Nếu người dùng đang sử dụng UC Browser trên điện thoại thông minh thì cần xem xét gỡ cài đặt ngay lập tức, bởi trình duyệt này đang bị nghi ngờ cho phép tin tặc khai thác từ xa để tự động tải xuống và thực thi mã độc trên thiết bị Android.

Phát hiện 857 ứng dụng nghe lén, quấy nhiễu và lừa đảo người dùng trên điện thoại Android

15:00 | 21/05/2020

Google mới đây đã gỡ bỏ hàng trăm ứng dụng độc hại trên Play Store, do cài cắm các tính năng theo dõi, nghe lén, quấy nhiễu, lừa đảo, thậm chí đe dọa người dùng.

Indonesia chặn một số website nổi tiếng vì vi phạm quy định

16:00 | 09/08/2022

Mới đây, Indonesia đã chặn website tìm kiếm Yahoo!, cổng thanh toán điện tử PayPal và một số trang web game khác do không tuân thủ các quy tắc hoạt động. Động thái này đã gây ra những phản ứng dữ dội trên mạng xã hội.

Phát hiện mã độc trong ứng dụng CamScanner trên Android

11:00 | 06/09/2019

Mới đây, hãng bảo mật Kapersky đã cảnh báo người dùng về mã độc được ẩn trong ứng dụng phổ biến CamScanner trên Android với hơn 100 triệu lượt tải. Khi bị nhiễm mã độc, thiết bị của nạn nhân sẽ hiển thị quảng cáo hoặc tự động đăng ký các gói trả phí mà người dùng không hề hay biết.

Phát hiện hơn 3,2 triệu mã độc Android trong Quý III/2018

10:00 | 29/11/2018

Theo công bố mới đây của hãng G Data (Đức), trong quý III/2018 đã phát hiện hơn 3,2 triệu mã độc trên các thiết bị Android. Số lượng mã độc gia tăng 40% so với cùng kỳ năm 2017.

Xuất hiện mã độc mới Lojax không thể tiêu diệt

14:00 | 10/10/2018

Lojax được đánh giá là cực kỳ nguy hiểm, có khả năng “bất tử”, tức là kể cả khi cài lại hệ điều hành và thay ổ cứng của máy tính bị lây nhiễm thì chúng vẫn tồn tại.

Tin cùng chuyên mục

Vén màn chiến dịch gián điệp mạng LightSpy

11:00 | 26/04/2024

Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.

Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN

16:00 | 15/04/2024

Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.

Khám phá Trojan ngân hàng Coyote

07:00 | 11/03/2024

Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.

Phân tích phần mềm độc hại mới đánh cắp ví tiền điện tử trong các ứng dụng bẻ khóa trên macOS

14:00 | 22/02/2024

Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.