Hãy cẩn thận! Kỹ thuật lừa đảo mới nhắm vào người dùng ngân hàng di động với các ứng dụng web tinh vi

Một kỹ thuật lừa đảo mới và đáng lo ngại đã xuất hiện, gây ra mối đe dọa nghiêm trọng cho người dùng ngân hàng di động trên cả nền tảng iOS và Android. Theo cảnh báo gần đây từ nhà cung cấp phần mềm chống phần mềm độc hại ESET, tội phạm mạng đang lợi dụng Ứng dụng web tiến bộ (PWA) và WebAPK để vượt qua các biện pháp bảo mật và đánh cắp thông tin đăng nhập ngân hàng nhạy cảm.

Cuộc tấn công diễn ra như thế nào

Chiến dịch lừa đảo mới này tận dụng tính linh hoạt của PWA, là các ứng dụng web được thiết kế để trông và hoạt động giống như các ứng dụng gốc. PWA không yêu cầu người dùng bật cài đặt ứng dụng của bên thứ ba, khiến chúng ít đáng ngờ hơn. Tội phạm mạng đang hướng dẫn người dùng iOS thêm các PWA này vào màn hình chính của họ, trong khi người dùng Android được yêu cầu xác nhận các cửa sổ bật lên tùy chỉnh trong trình duyệt của họ, dẫn đến việc cài đặt các ứng dụng lừa đảo này.

Đối với người dùng Android, mối đe dọa leo thang khi sử dụng WebAPK. Về cơ bản, đây là các PWA được nâng cấp bắt chước giao diện và hành vi của các ứng dụng hợp pháp, thường đánh lừa người dùng tin rằng họ đã tải xuống từ Google Play. Nghiên cứu của ESET nhấn mạnh rằng các WebAPK này không kích hoạt các cảnh báo bảo mật thông thường, ngay cả khi người dùng không cho phép cài đặt ứng dụng từ các nguồn không xác định. Sau khi cài đặt, các ứng dụng độc hại này sẽ hòa trộn liền mạch vào thiết bị của người dùng, hiển thị các biểu tượng và thông tin cho thấy chúng là ứng dụng ngân hàng chính thức.

Phương pháp phân phối

Việc phân phối các ứng dụng lừa đảo này được dàn dựng thông qua sự kết hợp giữa các cuộc gọi thoại tự động, quảng cáo độc hại trên mạng xã hội và tin nhắn SMS. Người dùng bị dụ nhấp vào các liên kết dẫn họ đến các trang web giả mạo giống với các cửa hàng ứng dụng chính thức hoặc trang web của ngân hàng mục tiêu. Sau đó, họ được nhắc cài đặt những gì có vẻ là bản cập nhật cho ứng dụng ngân hàng di động của họ.

Sau khi cài đặt, các ứng dụng này yêu cầu thông tin đăng nhập của người dùng dưới danh nghĩa truy cập vào tài khoản ngân hàng của họ. Người dùng không hề biết rằng thông tin nhạy cảm này sẽ ngay lập tức được gửi đến máy chủ chỉ huy và kiểm soát (C&C) của kẻ tấn công.

Bối cảnh đe dọa

Cuộc điều tra của ESET chỉ ra rằng chiến dịch lừa đảo này có khả năng bắt đầu vào tháng 11 năm 2023, với các máy chủ C&C hoạt động vào tháng 3 năm 2024. Trong khi trọng tâm chính là người dùng ngân hàng di động tại Cộng hòa Séc, các cuộc tấn công cũng nhắm vào các cá nhân ở Hungary và Georgia. ESET đã xác định được hai tác nhân đe dọa riêng biệt đứng sau các cuộc tấn công này, mỗi tác nhân sử dụng các kỹ thuật tương tự để xâm phạm người dùng.

Hơn nữa, ngày càng có nhiều lo ngại rằng những kẻ tấn công này sẽ mở rộng kho vũ khí của chúng bằng cách phát triển nhiều ứng dụng bắt chước hơn. Sự tinh vi của các PWA và WebAPK này khiến chúng trở nên đặc biệt nguy hiểm vì chúng gần như không thể phân biệt được với các ứng dụng ngân hàng hợp pháp.

Bảo vệ bản thân khỏi mối đe dọa

Với sự gia tăng của các kỹ thuật lừa đảo tiên tiến như vậy, việc người dùng luôn cảnh giác là điều quan trọng hơn bao giờ hết. Sau đây là một số bước bạn có thể thực hiện để bảo vệ bản thân:

1. Thận trọng khi cài đặt ứng dụng : Tránh cài đặt các ứng dụng không đến trực tiếp từ các cửa hàng ứng dụng chính thức. Nếu được nhắc cài đặt ứng dụng hoặc bản cập nhật qua liên kết, trước tiên hãy xác minh tính hợp pháp của ứng dụng hoặc bản cập nhật đó.
2. Cẩn thận với những yêu cầu bất thường : Hãy cảnh giác với bất kỳ ứng dụng nào yêu cầu thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập hoặc thông tin ngân hàng, đặc biệt nếu ứng dụng đó yêu cầu cập nhật.
3. Luôn cập nhật thông tin : Cập nhật tin tức bảo mật mới nhất và đảm bảo phần mềm bảo mật của thiết bị được cập nhật để phát hiện và chặn các loại mối đe dọa này.

Kỹ thuật lừa đảo mới này nhấn mạnh các chiến thuật đang phát triển của tội phạm mạng và nhu cầu nâng cao nhận thức của người dùng. Khi ranh giới giữa các ứng dụng hợp pháp và gian lận tiếp tục mờ nhạt, việc luôn cập nhật thông tin và thận trọng là biện pháp phòng thủ tốt nhất của bạn.