CyberThao
Writer
Một chiến dịch tấn công mạng nguy hiểm đang nhắm vào người dùng Android tại Bắc Mỹ, khi trojan ngân hàng Anatsa giả dạng ứng dụng xem PDF để phát tán mã độc ngay trên Google Play Store – chợ ứng dụng chính thức của Google.
Chiến thuật cũ, mục tiêu mới và quy trình tinh vi
Các nhà nghiên cứu từ công ty an ninh mạng ThreatFabric (Hà Lan) cho biết Anatsa – còn được biết đến với tên gọi TeaBot hoặc Toddler – đã xuất hiện từ năm 2020. Trojan này thường được phát tán thông qua hình thức “ứng dụng nhỏ giọt”: ban đầu là ứng dụng hợp pháp, sau đó được cập nhật để chứa mã độc.
Trong chiến dịch mới nhất, Anatsa giả dạng một ứng dụng có tên "Document Viewer - File Reader" (tên gói APK: com.stellarastra.maintainer.astracontrol_managerreadercleaner) do nhà phát triển “Hybrid Cars Simulator, Drift & Racing” phát hành. Ứng dụng này được tải lên Google Play từ ngày 7/5/2025 và nhanh chóng thu hút khoảng 90.000 lượt tải, đạt vị trí thứ tư trong danh mục “Công cụ miễn phí hàng đầu” vào ngày 29/6/2025.
Mã độc Anatsa được thêm vào ứng dụng khoảng sáu tuần sau khi phát hành, tức trong khoảng từ ngày 24 đến 30/6/2025 – thời điểm mà nó chính thức biến thành một phần mềm độc hại.
Cách hoạt động: từ ngụy trang đến chiếm đoạt tài khoản ngân hàng
Ngay khi được cài đặt, mã độc âm thầm tải về Anatsa như một ứng dụng riêng biệt. Sau đó, nó kết nối với máy chủ từ xa để nhận danh sách ngân hàng và tổ chức tài chính cần tấn công.
Trojan này triển khai nhiều kỹ thuật tinh vi như:
Hiển thị lớp phủ giả lên ứng dụng ngân hàng, đánh lừa người dùng rằng dịch vụ đang được bảo trì.
Ghi lại thao tác bàn phím, đánh cắp thông tin đăng nhập ngân hàng.
Chiếm quyền điều khiển thiết bị (DTO), thực hiện các giao dịch gian lận tự động mà người dùng không hề hay biết.
Một trong những yếu tố giúp Anatsa tránh bị phát hiện là chiến lược phát tán theo chu kỳ – xen kẽ giữa các giai đoạn hoạt động và ngưng hoạt động – khiến các công cụ phát hiện mã độc khó lòng theo kịp.
ThreatFabric cảnh báo rằng chiến dịch lần này không chỉ mở rộng phạm vi nhắm vào người dùng tại Mỹ và Canada, mà còn sử dụng lại toàn bộ chiến thuật cũ đã từng xuất hiện ở Slovakia, Slovenia và Cộng hòa Séc.
Các tổ chức tài chính được khuyến nghị khẩn trương rà soát nguy cơ, sử dụng thông tin tình báo từ báo cáo và nâng cao cảnh giác để bảo vệ khách hàng cũng như hệ thống nội bộ.
Đọc chi tiết tại đây: https://thehackernews.com/2025/07/anatsa-android-banking-trojan-hits.html
Chiến thuật cũ, mục tiêu mới và quy trình tinh vi
Các nhà nghiên cứu từ công ty an ninh mạng ThreatFabric (Hà Lan) cho biết Anatsa – còn được biết đến với tên gọi TeaBot hoặc Toddler – đã xuất hiện từ năm 2020. Trojan này thường được phát tán thông qua hình thức “ứng dụng nhỏ giọt”: ban đầu là ứng dụng hợp pháp, sau đó được cập nhật để chứa mã độc.
Trong chiến dịch mới nhất, Anatsa giả dạng một ứng dụng có tên "Document Viewer - File Reader" (tên gói APK: com.stellarastra.maintainer.astracontrol_managerreadercleaner) do nhà phát triển “Hybrid Cars Simulator, Drift & Racing” phát hành. Ứng dụng này được tải lên Google Play từ ngày 7/5/2025 và nhanh chóng thu hút khoảng 90.000 lượt tải, đạt vị trí thứ tư trong danh mục “Công cụ miễn phí hàng đầu” vào ngày 29/6/2025.
Mã độc Anatsa được thêm vào ứng dụng khoảng sáu tuần sau khi phát hành, tức trong khoảng từ ngày 24 đến 30/6/2025 – thời điểm mà nó chính thức biến thành một phần mềm độc hại.
Cách hoạt động: từ ngụy trang đến chiếm đoạt tài khoản ngân hàng
Ngay khi được cài đặt, mã độc âm thầm tải về Anatsa như một ứng dụng riêng biệt. Sau đó, nó kết nối với máy chủ từ xa để nhận danh sách ngân hàng và tổ chức tài chính cần tấn công.
Trojan này triển khai nhiều kỹ thuật tinh vi như:
Hiển thị lớp phủ giả lên ứng dụng ngân hàng, đánh lừa người dùng rằng dịch vụ đang được bảo trì.
Ghi lại thao tác bàn phím, đánh cắp thông tin đăng nhập ngân hàng.
Chiếm quyền điều khiển thiết bị (DTO), thực hiện các giao dịch gian lận tự động mà người dùng không hề hay biết.
Một trong những yếu tố giúp Anatsa tránh bị phát hiện là chiến lược phát tán theo chu kỳ – xen kẽ giữa các giai đoạn hoạt động và ngưng hoạt động – khiến các công cụ phát hiện mã độc khó lòng theo kịp.
ThreatFabric cảnh báo rằng chiến dịch lần này không chỉ mở rộng phạm vi nhắm vào người dùng tại Mỹ và Canada, mà còn sử dụng lại toàn bộ chiến thuật cũ đã từng xuất hiện ở Slovakia, Slovenia và Cộng hòa Séc.
Các tổ chức tài chính được khuyến nghị khẩn trương rà soát nguy cơ, sử dụng thông tin tình báo từ báo cáo và nâng cao cảnh giác để bảo vệ khách hàng cũng như hệ thống nội bộ.
Đọc chi tiết tại đây: https://thehackernews.com/2025/07/anatsa-android-banking-trojan-hits.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối: