Ứng dụng xem tài liệu nhưng có cài thêm mã độc: Trojan Anatsa đang làm gì với thiết bị của bạn?

[trungthuc]

Một chiến dịch tấn công mạng nguy hiểm đang nhắm vào người sử dụng Android tại Bắc Mỹ, khi "trojan ngân hàng Anatsa" giả dạng ứng dụng xem PDF để phát tán mã độc ngay trên Google Play Store, nơi ứng dụng chính thức của Google.

Chiến thuật cũ, mục tiêu mới và quy trình xâm nhập tinh vi
Các chuyên gia nghiên cứu từ công ty an ninh mạng ThreatFabric (Hoà Lan) cho biết trojan Anatsa còn được biết đến với tên gọi "TeaBot" hoặc "Toddler", đã từng xuất hiện từ năm 2020. Trojan này thường được phát tán thông qua hình thức "ứng dụng nhỏ giọt": ban đầu là ứng dụng hợp pháp, sau đó được cập nhật để bọ sung chứa mã độc.

Trong diển biến mới nhất, trojan Anatsa giả dạng một ứng dụng có tên "Document Viewer-File Reader" (tên gói APK: com.stellarastra.mai ntainer.astracontrol _managerreadercleane r) do công ty "Hybrid Cars Simulator, Drift & Racing" phát hành ra. Ứng dụng này được tải lên Google Play từ ngày 7/5/2025 và nhanh chóng thu hút khoảng 90,000 lượt tải xuống, đạt vị trí thứ 4 trong danh mục "Ứng dụng miễn phí hàng đầu" vào ngày 29/6/2025.

Mã độc Anatsa được bổ sung thêm vào ứng dụng khoảng 6 tuần sau khi được cho phát hành, tức trong khoảng từ ngày 24 đến 30/6/2025, thời điểm mà nó chính thức biến thành một phần mềm độc hại.

Cách hoạt động: từ việc ngụy trang đến chiếm đoạt tài khoản ngân hàng

(Minh họa)

Ngay khi được cài đặt vô điện thoại Android, mã độc âm thầm cho tải xuống Anatsa như một ứng dụng riêng biệt. Sau đó, nó sẽ kết nối với máy chủ từ xa để nhận dạng danh sách ngân hàng và tổ chức tài chính cần tấn công.
Trojan này triển khai nhiều kỹ thuật tinh vi như:
- Hiển thị lớp phủ giả lên ứng dụng ngân hàng, đánh lừa người sử dụng rằng, dịch vụ đang được bảo trì.
- Ghi lại mọi thao tác trên bàn phím, đánh cắp thông tin đăng nhập tài khoản ngân hàng.
- Chiếm quyền điều khiển thiết bị (DTO), thực hiện các giao dịch gian lận tự động mà người sử dụng không hề hay biết.

Một trong những yếu tố giúp cho trojan Anatsa tránh bị phát hiện ra là chiến lược cho phát tán theo chu kỳ, chạy xen kẽ giữa các giai đoạn hoạt động và ngưng hoạt động, khiến các ứng dụng phát hiện mã độc khó lòng theo kịp để khám phá ra.

Công ty ThreatFabric cảnh cáo rằng,hoạt động xâm nhập lần này không chỉ mở rộng phạm vi nhắm vào người tiêu dùng tại Mỹ và Canada, mà còn cho sử dụng lại toàn bộ chiến thuật cũ đã từng xuất hiện ở Slovakia, Slovenia và Cộng hòa Séc trước đây.
Các tổ chức tài chính được khuyến cáo khẩn trương rà soát nguy cơ, sử dụng thông tin tình báo từ các báo cáo về an ninh mạng và nâng cao cảnh giác để bảo vệ khách hàng cũng như hệ thống nội bộ.

Đọc thêm chi tiết tại đây:
- https://thehackernews.com/2025/07/an...ojan-hits.html