Cảnh báo: 77 ứng dụng độc hại trên Google Play Store chứa trojan ngân hàng Anatsa

• trojan Anatsa
• ứng dụng độc hại Android
• bảo mật Google Play Store

28/8/2025 đọc mất khoảng 14 phút

Cảnh báo: 77 ứng dụng độc hại trên Google Play Store chứa trojan ngân hàng Anatsa

Báo cáo từ Zscaler cảnh báo 77 ứng dụng độc hại trên Google Play Store với 19 triệu lượt cài đặt đang phát tán trojan ngân hàng Anatsa có khả năng đánh cắp thông tin tài khoản.

Phát hiện chiến dịch tấn công quy mô lớn nhắm vào người dùng Android

Công ty bảo mật Zscaler đã công bố báo cáo an ninh mạng cảnh báo về một chiến dịch tấn công quy mô lớn đang nhắm vào người dùng Android trên toàn thế giới. Báo cáo xác định 77 ứng dụng độc hại đã xuất hiện trên Google Play Store với tổng cộng 19 triệu lượt cài đặt, tất cả đều được thiết kế để phát tán trojan ngân hàng Anatsa có khả năng gây thiệt hại nghiêm trọng cho tài khoản tài chính của người dùng.

Điểm đáng lo ngại nhất của chiến dịch này là khả năng qua mặt các biện pháp kiểm duyệt nghiêm ngặt của Google. Các chuyên gia bảo mật nhận định rằng thủ đoạn được sử dụng trong chiến dịch này thể hiện mức độ tinh vi cao và sự hiểu biết sâu sắc về cách thức hoạt động của hệ thống kiểm duyệt ứng dụng di động.

Trojan Anatsa được đánh giá là một trong những phần mềm độc hại ngân hàng nguy hiểm nhất hiện nay, với khả năng thực hiện các cuộc tấn công có mục tiêu và đánh cắp thông tin tài chính một cách hoàn toàn bí mật. Sự xuất hiện của nó trên Google Play Store đánh dấu một bước leo thang đáng kể trong các mối đe dọa an ninh mạng đối với người dùng thiết bị di động.

Phương thức lây nhiễm hai giai đoạn của chiến dịch

Chiến dịch tấn công này sử dụng phương thức lây nhiễm hai giai đoạn được thiết kế cẩn thận để tránh phát hiện. Trong giai đoạn đầu, các tin tặc đăng tải những ứng dụng có vẻ hoàn toàn vô hại lên Google Play Store. Những ứng dụng này thường được ngụy trang dưới dạng các tiện ích phổ biến như trình đọc tài liệu PDF, công cụ dọn rác hệ thống, ứng dụng đèn pin, hoặc các tiện ích khác mà người dùng thường xuyên tìm kiếm.

Yếu tố then chốt của giai đoạn này là các ứng dụng ban đầu không chứa bất kỳ mã độc nào. Điều này cho phép chúng dễ dàng vượt qua các thuật toán kiểm duyệt tự động và quy trình xem xét thủ công của Google. Các ứng dụng này thực sự hoạt động theo chức năng được mô tả, tạo ra một lớp che giấu hoàn hảo cho hoạt động độc hại sẽ diễn ra sau đó.

Giai đoạn thứ hai được kích hoạt sau khi người dùng đã cài đặt và sử dụng ứng dụng trong một khoảng thời gian. Ứng dụng sẽ hiển thị thông báo về một bản cập nhật quan trọng cần được cài đặt để cải thiện hiệu suất hoặc bổ sung tính năng mới. Bản cập nhật giả mạo này chính là vectơ chính để cài đặt trojan Anatsa vào thiết bị của người dùng.

Thông báo cập nhật được thiết kế để trông chính thức và thuyết phục, thường kèm theo các lý do hợp lý như cải thiện bảo mật hoặc khắc phục lỗi. Người dùng, với thói quen cập nhật ứng dụng thường xuyên, dễ dàng chấp nhận cài đặt mà không nghi ngờ về bản chất độc hại của bản cập nhật này.

Cơ chế hoạt động của trojan Anatsa

Sau khi cài đặt thành công vào thiết bị, trojan Anatsa sẽ bắt đầu quá trình quét hệ thống để xác định các ứng dụng ngân hàng và tài chính đã được cài đặt. Khả năng nhận diện của Anatsa là vô cùng ấn tượng và đáng lo ngại, với khả năng giả mạo giao diện của hơn 831 ứng dụng khác nhau trên toàn cầu, bao gồm các ngân hàng lớn, ví điện tử, và các dịch vụ tài chính phổ biến.

Khi người dùng mở một ứng dụng ngân hàng hoặc tài chính, Anatsa sẽ lập tức kích hoạt và tạo ra một lớp giao diện giả mạo chồng lên trên ứng dụng chính thức. Lớp giao diện này được thiết kế để trông hoàn toàn giống với giao diện thật của ứng dụng, từ màu sắc, font chữ, bố cục, cho đến các logo và biểu tượng.

Người dùng khi thấy màn hình đăng nhập xuất hiện sẽ nghĩ rằng ứng dụng đang yêu cầu xác thực lại do lỗi kỹ thuật hoặc vì lý do bảo mật. Họ sẽ nhập thông tin đăng nhập của mình một cách bình thường, không hề biết rằng tất cả thông tin này đang được gửi trực tiếp đến máy chủ do tin tặc kiểm soát.

Sau khi thu thập được thông tin đăng nhập, Anatsa có khả năng tiếp tục theo dõi các hoạt động của người dùng trong ứng dụng ngân hàng. Nó có thể chặn và đánh cắp mã OTP, ghi lại các giao dịch, và thậm chí thực hiện các giao dịch trái phép mà không cần sự can thiệp trực tiếp từ nạn nhân.

Phạm vi tác động và các loại phần mềm độc hại khác

Báo cáo từ Zscaler không chỉ tập trung vào trojan Anatsa mà còn xác định sự hiện diện của các phần mềm độc hại khét tiếng khác trong những ứng dụng được phát hiện. Trojan Joker được tìm thấy trong một số ứng dụng, với khả năng đánh cắp danh bạ điện thoại và tự động đăng ký các dịch vụ trả phí premium mà người dùng không hề hay biết.

Phần mềm độc hại Harly cũng được phát hiện trong chiến dịch này, có chức năng tương tự với Joker nhưng được nâng cấp với các khả năng tấn công tinh vi hơn. Harly có thể thực hiện các cuộc gọi và gửi tin nhắn đắt đỏ mà không cần sự đồng ý của người dùng, gây ra các khoản phí bất ngờ trên hóa đơn điện thoại.

Sự kết hợp của nhiều loại phần mềm độc hại khác nhau trong cùng một chiến dịch cho thấy mức độ tổ chức cao và mục tiêu tối đa hóa lợi nhuận bất hợp pháp từ mỗi thiết bị bị nhiễm. Các tin tặc không chỉ muốn đánh cắp thông tin tài khoản ngân hàng mà còn muốn khai thác mọi cơ hội có thể để tạo ra doanh thu từ thiết bị của nạn nhân.

Thách thức trong việc phát hiện và ngăn chặn

Việc phát hiện và ngăn chặn loại chiến dịch tấn công này đặt ra những thách thức đáng kể cho cả Google và cộng đồng bảo mật. Phương thức lây nhiễm hai giai đoạn được thiết kế đặc biệt để qua mặt các hệ thống phát hiện tự động, vốn dựa vào việc quét tĩnh mã nguồn của ứng dụng tại thời điểm tải lên.

Google đã triển khai Google Play Protect và nhiều biện pháp bảo mật khác, nhưng những công nghệ này chủ yếu hiệu quả với các ứng dụng chứa mã độc từ đầu. Đối với các ứng dụng sử dụng phương thức tải mã độc từ xa sau khi đã được phê duyệt, việc phát hiện trở nên phức tạp hơn nhiều và đòi hỏi các phương pháp giám sát động liên tục.

Khía cạnh khác của thách thức nằm ở việc các ứng dụng độc hại thường có giao diện và chức năng hoàn toàn bình thường trong giai đoạn đầu. Điều này không chỉ đánh lừa hệ thống kiểm duyệt mà còn tạo ra trải nghiệm tích cực cho người dùng ban đầu, khiến họ tin tưởng và ít nghi ngờ khi các yêu cầu bất thường xuất hiện sau đó.

Biện pháp phòng ngừa cho người dùng Android

Các chuyên gia bảo mật khuyến nghị người dùng Android cần áp dụng một cách tiếp cận đa lớp để bảo vệ mình khỏi các mối đe dọa như trojan Anatsa. Biện pháp đầu tiên và quan trọng nhất là nâng cao ý thức về an ninh mạng và duy trì thái độ cảnh giác khi tải xuống và sử dụng các ứng dụng di động.

Người dùng nên hạn chế việc tải xuống các ứng dụng từ những nhà phát triển không quen thuộc hoặc có ít đánh giá từ người dùng khác. Trước khi cài đặt bất kỳ ứng dụng nào, cần dành thời gian đọc kỹ các đánh giá, kiểm tra thông tin về nhà phát triển, và xem xét kỹ các quyền mà ứng dụng yêu cầu.

Việc cài đặt một ứng dụng chống virus uy tín và được cập nhật thường xuyên là biện pháp bảo vệ quan trọng khác. Các giải pháp bảo mật di động hiện đại không chỉ quét phát hiện phần mềm độc hại mà còn có khả năng giám sát hành vi ứng dụng trong thời gian thực và cảnh báo về các hoạt động đáng ngờ.

Đặc biệt quan trọng là người dùng cần thận trọng với các yêu cầu cập nhật ứng dụng xuất hiện bên ngoài Google Play Store. Bất kỳ yêu cầu tải xuống và cài đặt file APK từ nguồn bên ngoài đều nên được xem xét cẩn thận và tốt nhất là từ chối nếu không hoàn toàn chắc chắn về tính an toàn.

Khuyến nghị cho doanh nghiệp và tổ chức

Các doanh nghiệp và tổ chức cần xem xét việc triển khai các chính sách quản lý thiết bị di động nghiêm ngặt hơn để bảo vệ dữ liệu công ty khỏi các mối đe dọa như trojan Anatsa. Việc sử dụng các giải pháp Mobile Device Management có thể giúp kiểm soát việc cài đặt ứng dụng trên các thiết bị công ty và ngăn chặn việc truy cập vào dữ liệu quan trọng từ các thiết bị có nguy cơ bị nhiễm.

Chương trình đào tạo nhận thức về an ninh mạng cho nhân viên cần được cập nhật để bao gồm các mối đe dọa di động mới nhất. Nhân viên cần được hướng dẫn cách nhận biết các dấu hiệu của ứng dụng độc hại và quy trình báo cáo khi nghi ngờ thiết bị của mình có thể bị nhiễm.

Việc thiết lập các chính sách tách biệt giữa thiết bị cá nhân và công việc cũng cần được xem xét nghiêm túc. Các doanh nghiệp nên cân nhắc cung cấp thiết bị riêng cho công việc hoặc sử dụng các giải pháp containerization để tách biệt dữ liệu công ty khỏi các ứng dụng cá nhân có thể có rủi ro.

Tương lai của bảo mật ứng dụng di động

Sự xuất hiện của các chiến dịch tấn công tinh vi như vụ việc trojan Anatsa đánh dấu một giai đoạn mới trong cuộc chiến chống lại tội phạm mạng trên nền tảng di động. Các nhà cung cấp dịch vụ và cộng đồng bảo mật cần phát triển những phương pháp phát hiện và ngăn chặn tiên tiến hơn để đối phó với các thủ đoạn ngày càng phức tạp.

Google và các cửa hàng ứng dụng khác sẽ cần đầu tư vào các công nghệ giám sát hành vi ứng dụng trong thời gian thực, không chỉ dựa vào phân tích tĩnh tại thời điểm tải lên. Việc sử dụng trí tuệ nhân tạo và machine learning để phát hiện các mẫu hành vi đáng ngờ sẽ trở nên càng quan trọng trong việc duy trì tính an toàn của hệ sinh thái ứng dụng di động.

Hợp tác quốc tế trong việc chia sẻ thông tin về các mối đe dọa và phối hợp các biện pháp đối phó cũng sẽ đóng vai trò then chốt. Các chiến dịch tấn công như trojan Anatsa thường có tính chất xuyên quốc gia và đòi hỏi sự phản ứng phối hợp từ cộng đồng bảo mật toàn cầu.

Kết luận về mối đe dọa và biện pháp đối phó

Chiến dịch phát tán trojan Anatsa thông qua 77 ứng dụng trên Google Play Store với 19 triệu lượt cài đặt đại diện cho một mối đe dọa nghiêm trọng đối với an ninh tài chính của hàng triệu người dùng Android trên toàn thế giới. Tính chất tinh vi của chiến dịch này, với phương thức lây nhiễm hai giai đoạn được thiết kế để qua mặt các biện pháp bảo mật hiện tại, cho thấy sự tiến bộ đáng lo ngại trong các kỹ thuật tấn công mạng.

Phản ứng hiệu quả đối với mối đe dọa này đòi hỏi sự kết hợp giữa những cải tiến công nghệ từ phía các nhà cung cấp dịch vụ, nâng cao nhận thức từ phía người dùng, và tăng cường hợp tác giữa các tổ chức bảo mật. Việc duy trì thái độ cảnh giác và áp dụng các biện pháp bảo vệ phù hợp không chỉ là trách nhiệm cá nhân mà còn góp phần vào việc tạo ra một môi trường số an toàn hơn cho tất cả mọi người.

Trong bối cảnh các mối đe dọa mạng ngày càng phức tạp, việc đầu tư vào giáo dục an ninh mạng và phát triển các công nghệ bảo mật tiên tiến sẽ là yếu tố quyết định khả năng của chúng ta trong việc bảo vệ thông tin cá nhân và tài sản trong thời đại số.