Phát hiện phần mềm độc hại trên Android có thể đánh cắp dữ liệu thẻ tín dụng

NGate, một loại mã độc Android mới cực kỳ nguy hiểm, có khả năng đánh cắp thông tin thẻ thanh toán một cách tinh vi. Bằng cách khai thác công nghệ giao tiếp trường gần (Near-Field Communication: NFC), mã độc này âm thầm sao chép thông tin từ thẻ thanh toán và chuyển thẳng đến tay kẻ gian, biến chiếc điện thoại của bạn thành một chiếc máy rút tiền tự động.

Phần mềm độc hại này sẽ cho phép kẻ gian sử dụng dữ liệu của người dùng tại các máy ATM và máy POS (điểm bán hàng) để rút tiền hoặc thanh toán cho các giao dịch mua tại máy tính tiền.

Nghiên cứu gần đây của công ty an ninh mạng ESET (Slovakia) đã phơi bày một chiến dịch tấn công kéo dài từ tháng 11 năm 2023, trong đó các tin tặc đã lợi dụng các ứng dụng web nâng cao như PWA và WebAPK để để đánh cắp thông tin đăng nhập ngân hàng của người dùng, đe dọa trực tiếp đến tài sản của người dùng tại Cộng hòa Séc.

Trong báo cáo công bố ngày 22/8 vừa qua, công ty an ninh mạng ESET đã tiết lộ một phát hiện đáng báo động, phần mềm độc hại NGate không chỉ dừng lại ở việc thu thập thông tin, mà còn được tận dụng để thực hiện các vụ trộm cắp tiền trực tiếp từ tài khoản ngân hàng của nạn nhân.

Phần mềm độc hại đánh cắp dữ liệu thẻ thông qua chip NFC

Các cuộc tấn công bắt đầu bằng một loạt thủ đoạn tinh vi, từ tin nhắn giả mạo, cuộc gọi lừa đảo đến những quảng cáo độc hại, nhằm dụ dỗ nạn nhân tải về và cài đặt các ứng dụng web độc hại, bao gồm cả PWA và WebAPK.

Các ứng dụng web độc hại này được ngụy trang tinh vi dưới vỏ bọc những bản cập nhật bảo mật khẩn cấp, mạo danh hoàn toàn giao diện và biểu tượng chính thức của các ngân hàng, nhằm lừa đảo người dùng cung cấp thông tin tài khoản.

Dù không yêu cầu bất kỳ quyền truy cập nào khi cài đặt, các ứng dụng này lại âm thầm lợi dụng những lỗ hổng trong Giao diện lập trình ứng dụng (Application Programming Interface: API) của trình duyệt để đánh cắp quyền kiểm soát các thành phần phần cứng của thiết bị, mà người dùng hoàn toàn không hay biết.

Mối đe dọa chưa dừng lại ở đó. Sau khi bị lừa cài đặt WebAPK, nạn nhân sẽ tiếp tục bị nhiễm phần mềm độc hại NGate. Điều đáng báo động là NGate lại tận dụng một công cụ nghiên cứu vốn được tạo ra để bảo mật, NFCGate, để thực hiện các hoạt động độc hại, biến công cụ bảo vệ thành vũ khí tấn công.

Công cụ bảo mật NFCGate cung cấp một bộ tính năng đa dạng, bao gồm chụp, chuyển tiếp, phát lại và sao chép dữ liệu trên thiết bị, mà không nhất thiết phải can thiệp vào hệ thống gốc (root). Điều này giúp người dùng dễ dàng sử dụng công cụ mà không lo ngại về rủi ro.

Phần mềm độc hại NGate lợi dụng công cụ này để xâm nhập vào thiết bị của nạn nhân, trộm cắp dữ liệu nhạy cảm từ thẻ thanh toán NFC gần đó rồi bí mật chuyển về cho kẻ tấn công thông qua một mạng lưới máy chủ ngầm.

Kẻ tấn công có thể dễ dàng biến dữ liệu đánh cắp thành một chiếc thẻ ảo, sau đó sử dụng nó để rút tiền mặt tại các máy ATM hoặc thanh toán tại các điểm bán hàng, gây thiệt hại trực tiếp cho nạn nhân.

Trong một video trình diễn, chuyên gia bảo mật Lukas Stefanko của ESET đã chứng minh khả năng nguy hiểm của NFCGate khi nó có thể dễ dàng quét và đánh cắp dữ liệu từ các thẻ trong ví hoặc ba lô của nạn nhân. Thậm chí, kẻ tấn công tại một cửa hàng có thể nhận dữ liệu thông qua máy chủ và thực hiện thanh toán không tiếp xúc bằng thẻ của nạn nhân.

Không dừng lại ở đó, Stefanko còn cảnh báo rằng NFCGate còn có thể sao chép mã định danh duy nhất của một số thẻ truy cập NFC và mã thông báo để xâm nhập vào các khu vực hạn chế.

Tin tặc lấy mã PIN thẻ của nạn nhân như thế nào?

Việc rút tiền mặt tại hầu hết các máy ATM đều yêu cầu phải có mã PIN của thẻ, mà theo các nhà nghiên cứu thì mã này có thể lấy được bằng cách tấn công mạng vào nạn nhân.

Sau khi đánh lừa nạn nhân cài đặt thành công ứng dụng giả mạo, kẻ lừa đảo tiếp tục nâng cao độ tin cậy bằng cách gọi điện trực tiếp, đóng giả nhân viên ngân hàng. Với giọng điệu chuyên nghiệp và thông tin cá nhân chính xác, chúng tạo ra một kịch bản hoàn hảo để lừa nạn nhân tin rằng tài khoản của họ đang gặp vấn đề.

Sau đó, bằng một tin nhắn SMS được chuẩn bị kỹ lưỡng, kẻ tấn công gửi cho nạn nhân một liên kết độc hại, ngụy trang là ứng dụng xác minh bảo mật để tiếp tục đánh cắp thông tin quan trọng

Khi nạn nhân thực hiện quét thẻ bằng thiết bị của họ và nhập mã PIN để xác minh trên giao diện lừa đảo của phần mềm độc hại, thông tin nhạy cảm sẽ được chuyển đến kẻ tấn công, cho phép kẻ tấn công rút tiền.

Cảnh sát Cộng hòa Séc đã phá vỡ một băng nhóm sử dụng phương thức này sau khi bắt giữ một trong những thành viên của nhóm đang rút tiền mặt từ một máy ATM ở thủ đô Prague (Cộng hòa Séc).

ESET cảnh báo rằng nguy cơ không chỉ dừng lại ở việc mất tiền mặt. NFCGate còn có khả năng sao chép nhiều loại thẻ khác nhau, từ thẻ ra vào, vé giao thông, thẻ ID, thẻ thành viên và các công nghệ hỗ trợ NFC khác, gây ra những hậu quả nghiêm trọng hơn nhiều.

Một cách đơn giản để tăng cường bảo mật cho thiết bị của bạn là tắt tính năng NFC khi không cần thiết. Để thực hiện, hãy vào Cài đặt > Kết nối > NFC trên điện thoại Android và tắt tính năng này đi. Việc này sẽ giúp bạn hạn chế rủi ro bị đánh cắp thông tin.

Nếu bạn cần kích hoạt NFC mọi lúc, hãy kiểm tra kỹ mọi quyền của ứng dụng và hạn chế quyền truy cập chỉ đối với những ứng dụng cần thiết; chỉ cài đặt ứng dụng ngân hàng từ trang web chính thức của tổ chức hoặc Google Play và đảm bảo ứng dụng bạn đang sử dụng không phải là WebAPK.

Liên quan đến phát hiện này, người phát ngôn của Google cho biết, hiện tại không có ứng dụng nào chứa NGate được phát hiện trên cửa hàng ứng dụng Google Play nhờ chức năng tự động bảo vệ của Google Play Protect, vốn được bật theo mặc định trên các thiết bị Android có Google Play Services.

Google cũng cho biết họ không tìm thấy phần mềm độc hại nào như vậy được liệt kê trong Google Play bởi Play Protect có thể cảnh báo người dùng và chặn các ứng dụng có hành vi độc hại ngay cả khi các ứng dụng đó đến từ nguồn của bên thứ ba.