Sự trỗi dậy của "Trojan tinh nhuệ"

Theo báo cáo mới nhất từ Trung tâm Giám sát An toàn không gian mạng (giả định), loại mã độc này được định danh là VNBanq-Gen2. Khác với các dòng malware trước đây chỉ dừng lại ở việc đánh cắp thông tin đăng nhập, VNBanq-Gen2 tích hợp khả năng học máy (Machine Learning) để nhận diện các thao tác thực hiện giao dịch của người dùng trên hơn 30 ứng dụng ngân hàng phổ biến tại Việt Nam.

Dữ liệu phân tích cho thấy mã độc này lây lan chủ yếu thông qua các trang web giả mạo cơ quan thuế, bảo hiểm xã hội hoặc dịch vụ dịch công trực tuyến. Người dùng thường bị đánh lừa cài đặt các tệp tin APK (đối với Android) hoặc thông qua các lỗ hổng trên hệ điều hành iOS đã bị can thiệp (jailbreak). Một khi được kích hoạt, mã độc sẽ xin quyền truy cập vào "Dịch vụ hỗ trợ" (Accessibility Service), từ đó kiểm soát toàn bộ màn hình và thông báo của điện thoại.

"Đây không còn là những cuộc tấn công đơn lẻ. Chúng tôi đang đối mặt với một chiến dịch có tổ chức, sử dụng hạ tầng kỹ thuật phức tạp để qua mặt các giải pháp bảo mật tại chỗ của thiết bị di động. Điểm nguy hiểm nhất là mã độc có thể 'đọc' được mã OTP từ ứng dụng SMS hoặc các ứng dụng xác thực mà người dùng không hề hay biết."

— Ông Nguyễn Thế Anh, Chuyên gia phân tích mã độc cao cấp.

Hơn 2,5 triệu người dùng nằm trong vùng nguy hiểm

Con số 2,5 triệu tài khoản không phải là dự báo mơ hồ. Dựa trên số lượng IP truy cập vào các máy chủ điều khiển (C&C server) bị phát hiện, các chuyên gia an ninh mạng ghi nhận sự gia tăng đột biến trong lưu lượng truy cập từ Việt Nam từ đầu quý II/2024. Cụ thể, các đợt tấn công tập trung mạnh vào đối tượng người dùng tại các thành phố lớn như Hà Nội, TP.HCM và Đà Nẵng, nơi tỷ lệ thanh toán không tiền mặt chiếm ưu thế.

Mã độc thế hệ mới này sử dụng kỹ thuật "Overlay Attack" (tấn công lớp phủ). Khi người dùng mở ứng dụng ngân hàng thật, mã độc ngay lập tức hiển thị một lớp màn hình giả mạo y hệt nhưng nằm phía trên ứng dụng thật. Toàn bộ thông tin tài khoản, mật khẩu và mã PIN được người dùng nhập vào sẽ bị chuyển thẳng tới máy chủ của tin tặc trong thời gian thực.

Phương thức chiếm đoạt tinh vi

• Ẩn danh hoàn hảo: Sau khi cài đặt, mã độc tự đổi biểu tượng thành "Cài đặt hệ thống" hoặc "Google Update" để tránh bị gỡ bỏ.
• Chặn thông báo: Mã độc có thể ẩn tất cả thông báo biến động số dư từ ứng dụng ngân hàng, khiến nạn nhân không biết tài khoản đang bị rút tiền.
• Giao dịch nền: Khi điện thoại ở trạng thái nghỉ (ban đêm), tin tặc có thể tự thực hiện các lệnh chuyển khoản nhỏ từ 500.000đ đến 2.000.000đ để tránh sự kiểm soát gắt gao của hệ thống chống gian lận ngân hàng.

Làm gì để tự bảo vệ mình?

Trước bối cảnh mối đe dọa đang hiện hữu, các ngân hàng và tổ chức tài chính tại Việt Nam đã đồng loạt cập nhật ứng dụng để tích hợp các tính năng phát hiện quyền Accessibility lạ. Tuy nhiên, rào cản lớn nhất vẫn nằm ở ý thức của người dùng cuối.

TechNews VN đề xuất một số biện pháp cấp bách cho độc giả để bảo vệ tài sản số cá nhân:

Nhận định xu hướng và Kết luận

Cuộc chiến giữa các chuyên gia bảo mật và tội phạm mạng đang bước vào giai đoạn cam go hơn bao giờ hết. Xu hướng trong thời gian tới, theo nhận định của TechNews VN, các loại mã độc sẽ ngày càng được tùy biến mạnh mẽ (localization) để phù hợp với đặc thù văn hóa và công nghệ của từng quốc gia.

Việt Nam, với vị thế là một trong những nền kinh tế số phát triển nhanh nhất khu vực, vô tình trở thành "mảnh đất màu mỡ" cho các chiến dịch malware. Việc chuyển dịch từ bảo mật thụ động (chờ phát hiện) sang bảo mật chủ động (ngăn chặn từ đầu) và tăng cường kiến thức kỹ năng số cho người dân sẽ là chìa khóa then chốt để giảm thiểu thiệt hại từ các đợt tấn công tương lai.

Người dùng cần luôn duy trì tinh thần cảnh giác cao độ: Trong kỷ nguyên số, một lần nhấn "Cho phép" sai lầm có thể dẫn tới sự mất mát của cả một gia tài.