Theo BleepingComputer, một phiên bản nâng cấp của phần mềm độc hại SharkBot vừa bị phát hiện có mặt trên kho Play Store của Google. Chương trình này vẫn nhắm vào thông tin tài khoản ngân hàng như phiên bản trước, hiện giả danh thành các ứng dụng với hàng chục nghìn lượt tải về, cài đặt trên nền tảng Android.
Cụ thể, SharkBot tồn tại trong 2 phần mềm cho Android. Tại thời điểm nhà phát triển nộp dữ liệu để hệ thống tự động của Google xét duyệt, các chương trình này không chứa bất kỳ đoạn mã khả nghi nào. Tuy nhiên, SharkBot nhanh chóng chèn mã độc vào dưới dạng bản cập nhật sau khi người dùng cài đặt chương trình gốc.
Fox IT, nhóm an ninh thuộc NCC Group cho biết hai ứng dụng có tên "Mister Phone Cleaner" và "Kylhavy Mobile Security" chứa SharkBot đã có tổng cộng trên 60.000 lượt tải. Cả hai ứng dụng đã bị gỡ khỏi Play Store nhưng những người đã cài về máy vẫn đối mặt với rủi ro và được khuyến cáo xóa ngay khỏi thiết bị.
SharkBot lần đầu được phát hiện bởi các chuyên gia phân tích mã độc tại Cleafy, một công ty quản lý và ngăn chặn lừa đảo trực tuyến của Ý, vào tháng 10/2021. Tới tháng 3/2022, NCC Group tìm được những ứng dụng đầu tiên chứa mã độc này tồn tại trên Play Store. Ở thời điểm đó, SharkBot tấn công và đánh cắp dữ liệu thông qua cơ chế sao chép thao tác nhập liệu, can thiệp vào tin nhắn SMS hoặc cho phép kẻ đứng sau quyền kiểm soát hoàn toàn máy nạn nhân.
Phiên bản mới nhất (2.25) bị phát hiện ngày 22/8 vừa qua được bổ sung khả năng đánh cắp cookie từ quá trình đăng nhập tài khoản ngân hàng trên thiết bị. Sau khi cài 1 trong 2 ứng dụng nêu trên vào máy, Trojan được thiết kế để cài phần mềm độc hại (Trojan Dropper hay các Dropper) sẽ gửi yêu cầu tới máy chủ C2 (máy chủ điều khiển và kiểm soát) để trực tiếp nhận file APK cài đặt SharkBot vào thiết bị mà không cần đường link tải về cũng như hiển thị các bước thiết lập.
Dropper sẽ hiện thông báo tới người dùng rằng phần mềm có một bản cập nhật khả dụng, đề xuất được cài và đòi cấp mọi quyền trên máy để tiến hành quá trình. Để làm khó cho quy trình rà soát mã độc tự động, SharkBot lưu trữ cấu hình mã lập trình cứng dưới dạng mã hóa sử dụng thuật toán RC4.
Hiện tại cả 2 ứng dụng đã bị xóa khỏi Google Play, nhưng chúng sẽ vẫn tồn tại trên điện thoại nếu bạn đã lỡ cài đặt trước đó.
Để gỡ cài đặt, bạn hãy truy cập vào Settings (cài đặt) - Apps (ứng dụng) - Manage apps (quản lý ứng dụng), chọn ứng dụng độc hại và nhấn Uninstall (gỡ cài đặt). Lưu ý, tên và vị trí các tùy chọn có thể thay đổi tùy vào thiết bị bạn đang sử dụng.
Phiên bản mới của SharkBot có thể thực hiện các cuộc tấn công lớp phủ, ăn cắp dữ liệu thông qua keylogging, chặn tin nhắn SMS hoặc cho phép tin tặc chiếm quyền kiểm soát từ xa bằng cách lạm dụng dịch vụ trợ năng trên điện thoại.
Hương Anh (tổng hợp)