Trong Báo cáo về các vụ chiếm đoạt tiền qua ngân hàng di động năm 2023, Công ty bảo mật di động Zimperium đã phân tích 24.000 mẫu lây nhiễm phần mềm độc hại trên thiết bị di động và xác định 29 họ phần mềm độc hại nhắm mục tiêu vào 1.800 ứng dụng ngân hàng di động. Trong đó, Godfather, một trong những phần mềm độc hại phổ biến nhất, có hơn 1.000 biến thể được biết đến và nhắm mục tiêu vào 237 ứng dụng ngân hàng ở 57 quốc gia.
Theo dõi hàng triệu thiết bị, họ cũng phát hiện ra rằng 9% đã bị ảnh hưởng bởi phần mềm độc hại, trong đó trojan ngân hàng ảnh hưởng đến 1/5 số thiết bị này. Vào năm 2023, Zimperium đã phát hiện thấy số lượng phần mềm độc hại đáng lo ngại với các khả năng mới nhằm trốn tránh kiểm tra bảo mật, tránh bị phát hiện và đánh cắp thông tin xác thực ngân hàng. Khi những mối đe dọa này gia tăng, các ngân hàng sẽ cần áp dụng các biện pháp phòng vệ và thực tiễn tốt nhất mới để bảo vệ người tiêu dùng và danh tiếng thương hiệu của chính họ.
Mối đe dọa phần mềm độc hại đang phát triển nhanh chóng
Phần mềm độc hại phát triển hằng năm và các dòng phần mềm độc hại liên tục sinh ra các biến thể mới. Hơn một nửa số họ phần mềm độc hại được nghiên cứu đã có khả năng ghi nhật ký bàn phím, hiển thị cửa sổ giả phủ trên màn hình của ứng dụng thật, khả năng truy cập và đánh cắp SMS nâng cao.
Trong khi đó, nhiều ứng dụng ngân hàng thiếu sự bảo vệ đầy đủ trước kỹ thuật dịch ngược và giả mạo, cho phép các tác nhân đe dọa dịch ngược chúng nhanh chóng, tạo bản sao bằng phần mềm độc hại ngân hàng và phân phối chúng thông qua các thủ đoạn lừa đảo phi kỹ thuật.
Mã độc tống tiền (Ransomware), xuất hiện trong 59% tổng số vụ việc có động cơ tài chính và có khả năng xuất hiện cao hơn trong các loại mã độc ngân hàng di động.
Năm ngoái, gần 60% giao dịch ngân hàng gian lận được thực hiện thông qua thiết bị di động. Khi mã độc ngân hàng di động tiếp tục phát triển và làm suy yếu an ninh truyền thống, rủi ro đối với các ngân hàng sẽ liên tục gia tăng.
Điều này sẽ dẫn đến tăng chi phí hoạt động, giảm niềm tin của người tiêu dùng và ảnh hưởng đến thương hiệu. Nó cũng sẽ gây tổn thất tài chính cho người tiêu dùng với gánh nặng lớn hơn trong việc bảo vệ bản thân và thiết bị của mình.
Một số đe dọa mới đối với ứng dụng ngân hàng:
Một số mối đe dọa mới đối với các ứng dụng ngân hàng di động đã được ghi nhận như:
MaaS (mã độc như một dịch vụ): Phần mềm độc hại dưới dạng dịch vụ đang biến đổi tội phạm mạng, cung cấp gói đăng ký và bộ công cụ cho tội phạm mới thâm nhập thị trường và triển khai các cuộc tấn công nâng cao. Nexus là một trong những họ phần mềm độc hại ngân hàng được phân phối theo mô hình này và thường được sử dụng cho các cuộc tấn công chiếm đoạt tài khoản.
Kỹ thuật chuyển tiền tự động (ATS): Phần mềm độc hại thường sử dụng hệ thống chuyển tiền tự động để chuyển tiền trái phép từ tài khoản của nạn nhân mà không gây nghi ngờ. Đầu tiên, phần mềm này thu thập thông tin đăng nhập và kiểm tra số dư tài khoản. Sau đó, nó khởi tạo một giao dịch, sử dụng tính năng thu thập mã xác thực đa yếu tố và thực hiện giao dịch, gửi tiền đến tài khoản được xác định trước do kẻ tấn công kiểm soát. Cuối cùng, ATS xóa các cảnh báo hoặc thông báo SMS liên quan đến giao dịch, khiến nạn nhân khó phát hiện hành vi gian lận. Phần mềm độc hại PixPirate thường sử dụng ATS để thực hiện chuyển tiền trái phép.
Lừa cài đặt phần mềm qua các cuộc gọi là một cuộc tấn công kỹ thuật xã hội nhằm lừa nạn nhân nói chuyện qua điện thoại với kẻ tấn công. Kẻ lừa đảo hướng dẫn nạn nhân thực hiện một loạt bước để tải xuống và cài đặt phần mềm độc hại trên thiết bị, cho phép chúng thực hiện các giao dịch trái phép, đánh cắp dữ liệu và các hành vi lừa đảo khác. Phần mềm độc hại Copybara thường sử dụng phương thức này kết hợp với phương thức lừa đảo truyền thống để lấy thông tin xác thực và chiếm đoạt tài khoản.
Lạm dụng chia sẻ màn hình: Mặc dù chia sẻ màn hình là một hoạt động hợp pháp nhưng cũng có thể được sử dụng cho mục đích xấu. Trong trojan ngân hàng di động, phần mềm độc hại có thể truy cập và thao tác từ xa vào thiết bị của người dùng, bao gồm cả ứng dụng ngân hàng , để thực hiện các giao dịch trái phép hoặc đánh cắp thông tin. Phần mềm độc hại Hook sử dụng tính năng chia sẻ màn hình để trở thành mối đe dọa đặc biệt mạnh và độc hại trong các trojan ngân hàng di động nhằm hỗ trợ việc chiếm đoạt và lừa đảo tài khoản.
Các biện pháp phòng vệ và thực hành tốt nhất
Có một số phương pháp hay nhất mà các tổ chức tài chính và nhóm phát triển của họ có thể áp dụng để bảo vệ ứng dụng khỏi phần mềm độc hại.
Việc bảo vệ phải phù hợp với mức độ phức tạp của mối đe dọa: Với sự ngày càng tinh vi của các mối đe dọa, các nhóm bảo mật ứng dụng di động phải ưu tiên các kỹ thuật bảo vệ mã nâng cao để cản trở kỹ thuật dịch ngược và giả mạo ứng dụng di động. Điều này không chỉ ngăn chặn việc tạo ra phần mềm độc hại được nhắm mục tiêu mà còn làm giảm khả năng gian lận có thể mở rộng. Bằng cách nâng cao mức độ bảo mật, chi phí và nỗ lực tấn công ứng dụng sẽ vượt quá lợi ích tiềm năng mà kẻ tấn công có thể đạt được.
Giám sát ứng dụng trong thời gian chạy để theo dõi và lập mô hình mối đe dọa: Các nhóm phát triển và bảo mật thường thiếu khả năng theo dõi các mối đe dọa và hoạt động trong bóng tối. Để thu hẹp khoảng cách này, các nhà lãnh đạo bảo mật ứng dụng di động có thể kích hoạt khả năng giám sát ứng dụng trong thời gian chạy trên nhiều vectơ mối đe dọa khác nhau, bao gồm thiết bị, mạng, ứng dụng và lừa đảo. Điều này sẽ giúp họ xác định và báo cáo rủi ro cũng như các cuộc tấn công tốt hơn, đồng thời mở đường cho việc theo dõi mối đe dọa liên tục và phản ứng nhanh chóng.
Bảo vệ trên thiết bị: Vì khả năng phản hồi hiệu quả và theo thời gian thực là rất quan trọng, các nhà phụ trách bảo mật ứng dụng di động nên ưu tiên các cơ chế bảo vệ trên thiết bị để thực hiện hành động ngay lập tức khi phát hiện mối đe dọa. Khả năng này phải độc lập, không yêu cầu phụ thuộc vào kết nối mạng hoặc giao tiếp với máy chủ phụ trợ.
Nguyễn Anh Tuấn