Theo cảnh báo mới nhất từ hãng bảo mật Zimperium, một chiến dịch mã độc mới đang sử dụng gần 250 ứng dụng độc hại để giả danh các trò chơi và nền tảng mạng xã hội phổ biến như TikTok, Minecraft, Grand Theft Auto, Instagram Threads hay Facebook Messenger nhằm lừa người dùng cài đặt.

Ảnh: BGR

Sau khi được tải xuống và cài đặt, các ứng dụng này bí mật đăng ký người dùng vào các dịch vụ tính phí cao cấp mà nạn nhân không hề hay biết, khiến cước phí bị tính rất cao vào hóa đơn viễn thông.

Theo các chuyên gia bảo mật, chiến dịch này sử dụng nhiều kỹ thuật tinh vi như chèn mã JavaScript, đánh cắp mật khẩu OTP, tự động hóa thao tác qua WebView và theo dõi quá trình lừa đảo nhằm tránh bị phát hiện. Mã độc được triển khai tại nhiều quốc gia như Malaysia, Romania, Thái Lan và Croatia, đồng thời chỉ kích hoạt khi phát hiện SIM của người dùng thuộc các nhà mạng mục tiêu.

3 biến thể mã độc khác nhau đã được sử dụng trong chiến dịch này. Biến thể đầu tiên hoạt động như một “cỗ máy đăng ký tự động”, bí mật đăng ký nạn nhân vào các dịch vụ tính phí cao cấp ở Malaysia. Biến thể này đọc dữ liệu SIM để xác định người dùng có thuộc các nhà mạng mục tiêu hay không. Nếu phát hiện đúng nhà mạng, mã độc sẽ giả lập giao diện xác thực tài khoản trò chơi để dụ nạn nhân nhập thông tin. Sau đó, chúng lợi dụng API lấy mã xác thực từ tin nhắn SMS của Google để chặn OTP và tự động kích hoạt đăng ký dịch vụ tính phí bí mật qua cổng thanh toán của nhà mạng.

Biến thể thứ hai tập trung vào người dùng Thái Lan thông qua tin nhắn SMS cao cấp. Mã độc sử dụng hệ thống nhiều lớp để né tránh kiểm tra bảo mật, đồng thời âm thầm mở các WebView ẩn ở chế độ nền nhằm truy cập các cổng thanh toán viễn thông.

Trong khi đó, biến thể thứ ba kết hợp khả năng lừa đảo qua tin nhắn SMS với việc gửi thông báo tức thời tới Telegram cho kẻ tấn công. Điều này cho phép nhóm lừa đảo theo dõi hiệu quả chiến dịch theo thời gian thực và tối ưu hoạt động.

Malaysia là quốc gia bị ảnh hưởng nặng nhất với hơn 1/2 số nạn nhân. Người dùng tại Thái Lan và Romania mỗi nơi chiếm khoảng 15% số nạn nhân của chiến dịch tấn công, còn Croatia ghi nhận khoảng 1% hoạt động của chiến dịch. Ít nhất 10 nhà mạng nằm trong danh sách mục tiêu, bao gồm DiGi, Maxis, Celcom, U Mobile, Telekom, AIS, Orange, Vodafone, TrueMove H và dtac TriNet.

Các chuyên gia nhận định chiến dịch này cho thấy khó khăn ngày càng lớn trong việc kiểm soát ứng dụng độc hại, đặc biệt khi người dùng tải ứng dụng từ các kho ứng dụng bên thứ ba. Ngoài ra, việc tin tặc lợi dụng những tính năng hợp pháp của Android như SMS Retriever hay CookieManager cũng cho thấy các cơ chế bảo mật hiện tại chưa theo kịp phương thức tấn công mới.

Giới bảo mật khuyến cáo người dùng chỉ nên cài đặt ứng dụng từ nguồn đáng tin cậy, kiểm tra kỹ quyền truy cập trước khi cài đặt và luôn bật các lớp bảo vệ như Google Play Protect, để hạn chế nguy cơ trở thành nạn nhân của các chiến dịch lừa đảo tương tự.

LÊ PHI (Theo BGR)