Trojan ngân hàng TsarBot
Một phần mềm độc hại Android mới được phát hiện, TsarBot, đã nổi lên như một mối đe dọa mạng đáng kể. Nhắm mục tiêu vào hơn 750 ứng dụng trong các lĩnh vực ngân hàng, tài chính, tiền điện tử và thương mại điện tử, phần mềm độc hại này gây ra rủi ro nghiêm trọng cho dữ liệu nhạy cảm của người dùng.
Mục lục
Cách TsarBot Thu thập Dữ liệu của Bạn
TsarBot là một Trojan ngân hàng tinh vi sử dụng các cuộc tấn công lớp phủ để đánh cắp thông tin ngân hàng, thông tin đăng nhập và thông tin thẻ tín dụng. Hoạt động trên nhiều khu vực—bao gồm Bắc Mỹ, Châu Âu, Châu Á - Thái Bình Dương và Trung Đông—TsarBot sử dụng các chiến thuật lừa đảo để xâm nhập vào các thiết bị và trích xuất dữ liệu một cách liền mạch.
Cách TsarBot lây lan: Bẫy và thủ thuật
TsarBot chủ yếu lây lan qua các trang web độc hại được ngụy trang thành nền tảng tài chính. Một ví dụ đáng chú ý bao gồm phiên bản giả mạo của nền tảng giao dịch phi tập trung Photon SOL, lừa người dùng tải xuống ứng dụng giao dịch gian lận. Ngoài ra, các chiến thuật lừa đảo và kỹ thuật xã hội đóng vai trò quan trọng trong việc phát tán.
Phần mềm độc hại như TsarBot thường được nhúng trong nội dung có vẻ vô hại, tiếp cận người dùng thông qua các lượt tải xuống tự động, quảng cáo độc hại, chiến thuật trực tuyến, nguồn tải xuống đáng ngờ, email rác, cập nhật giả mạo và nội dung vi phạm bản quyền. Một số biến thể thậm chí có thể tự lan truyền qua mạng cục bộ và ổ USB, khiến chúng trở nên khó kiểm soát hơn.
TsarBot hoạt động như thế nào: Một bậc thầy lừa dối
Sau khi cài đặt—thường được ngụy trang thành Dịch vụ Google Play—TsarBot thực hiện một cuộc tấn công phủ bằng cách hiển thị màn hình đăng nhập giả trên các ứng dụng hợp pháp. Điều này cho phép nó thu thập thông tin đăng nhập mà không gây nghi ngờ.
Ngoài các cuộc tấn công phủ, TsarBot sử dụng các kỹ thuật tiên tiến như ghi lại màn hình, điều khiển từ xa các thiết bị bị nhiễm và cơ chế khóa để ghi lại mã PIN và mật khẩu bằng màn hình khóa giả. Nó cũng có thể mô phỏng các hành động của người dùng như vuốt và chạm trong khi che giấu các hoạt động của mình bằng màn hình phủ màu đen.
Kết nối Chỉ huy và Kiểm soát (C&C)
TsarBot giao tiếp với máy chủ Command-and-Control (C&C) của nó thông qua các kết nối WebSocket, cho phép đánh cắp dữ liệu theo thời gian thực và các hoạt động gian lận. Các kết nối này cho phép phần mềm độc hại thao túng màn hình, thực hiện cử chỉ và tương tác với các ứng dụng mục tiêu.
Phần mềm độc hại duy trì danh sách cập nhật các ứng dụng mục tiêu, bao gồm các nền tảng ngân hàng từ Ấn Độ, Pháp, Ba Lan và Úc, giao dịch tiền điện tử và các ứng dụng truyền thông xã hội. Khi người dùng tương tác với các ứng dụng này, TsarBot sẽ phủ một trang lừa đảo giả để thu thập thông tin đăng nhập, truyền dữ liệu đã thu thập trở lại máy chủ C&C của nó.
Làm thế nào để giữ an toàn khỏi TsarBot
Để bảo vệ chống lại các mối đe dọa như TsarBot, các chuyên gia an ninh mạng khuyến nghị:
- Tránh các nguồn ứng dụng không đáng tin cậy và các cửa hàng của bên thứ ba
- Thận trọng với các liên kết lừa đảo và các trang web đáng ngờ
- Bật Google Play Protect để tăng cường bảo mật
- Cập nhật thường xuyên các thiết bị để vá lỗ hổng
- Không tải xuống phần mềm lậu hoặc bẻ khóa
Khi Trojan ngân hàng Android ngày càng tinh vi hơn, người dùng phải luôn cảnh giác và thực hiện các biện pháp bảo mật chủ động để bảo vệ dữ liệu của mình.
