Cẩn thận bị mã độc này đánh cắp mã PIN điện thoại, lấy sạch tiền trong tài khoản ngân hàng

Mã độc này có thể đánh cắp mã PIN điện thoại Android thông qua màn hình khóa giả mạo.

Màn hình khóa giả mạo đánh cắp mã pin Android

TrickMo lần đầu tiên được IBM X-Force ghi nhận vào năm 2020. Các tính năng chính của phiên bản TrickMo mới bao gồm chặn mật khẩu một lần (OTP), chụp lại màn hình, đánh cắp dữ liệu, điều khiển từ xa,…

Phần mềm độc hại này lạm dụng quyền Dịch vụ trợ năng để cấp cho chính nó các quyền bổ sung và tự động nhấn vào lời nhắc khi cần.

Như một banking trojan (phần mềm độc hại chuyên nhắm mục tiêu người dùng ứng dụng ngân hàng), nó hiển thị cho người dùng giao diện giả mạo màn hình đăng nhập của nhiều ngân hàng hoặc tổ chức tài chính khác nhau để đánh cắp thông tin tài khoản của họ và cho phép kẻ tấn công thực hiện các giao dịch trái phép.

Mã độc này có thể đánh cắp mã PIN điện thoại Android thông qua màn hình khóa giả mạo.

Các nhà phân tích của Zimperium cũng báo cáo về một màn hình mở khóa giả mạo, bắt chước giao diện mở khóa của Android, được thiết kế để đánh cắp mẫu mở khóa (pattern) hoặc mã PIN của người dùng.

"Giao diện lừa đảo là một trang HTML được lưu trên một trang web bên ngoài và được hiển thị ở chế độ toàn màn hình trên thiết bị, khiến nó trông giống như một màn hình hợp pháp. Khi người dùng nhập mẫu mở khóa hoặc mã PIN, trang sẽ thu thập mã PIN hoặc mẫu mở khóa, cùng với mã định danh thiết bị (ID Android)", Zimperium cho biết.

Đến nay, Zimperium đã có thể xác định rằng ít nhất 13.000 nạn nhân, hầu hết ở Canada và một số lượng đáng kể ở Các Tiểu vương quốc Ả Rập Thống nhất (United Arab Emirates), Thổ Nhĩ Kỳ và Đức, bị ảnh hưởng bởi phần mềm độc hại này. Tuy nhiên, con số nạn nhân của mã độc TrickMo có thể cao hơn.

“Chúng tôi đã phát hiện hàng triệu bản ghi trong các tệp này, cho thấy số lượng lớn thiết bị bị xâm nhập và lượng dữ liệu nhạy cảm đáng kể bị truy cập bởi tác nhân đe dọa.” đại diện của Zimperium cho biết.

Mục tiêu của mã độc TrickMo có thể bao gồm các loại ứng dụng (và tài khoản) khác, bao gồm VPN, nền tảng phát trực tuyến, nền tảng thương mại điện tử, giao dịch, phương tiện truyền thông xã hội, tuyển dụng và nền tảng doanh nghiệp.

Để giảm thiểu nguy cơ trở thành nạn nhân của các phần mềm độc hại này, hãy tránh tải xuống APK từ URL được gửi qua SMS hoặc tin nhắn trực tiếp từ những người bạn không biết.

Google Play Protect có thể xác định và chặn các biến thể đã biết của TrickMo, do đó, đảm bảo phần mềm này hoạt động trên thiết bị là rất quan trọng để bảo vệ chống lại phần mềm độc hại.

Nguồn: BleepingComputer