Nguy cơ mất thông tin thẻ: Mã độc NFCShare lan truyền qua bản cập nhật ngân hàng giả trên GitHub

Một chiến dịch lừa đảo nguy hiểm đang diễn ra nhắm vào người dùng hệ điều hành Android tại châu Âu. Kẻ gian đã lợi dụng nền tảng GitHub để phát tán các bản cập nhật giả mạo của những ứng dụng ngân hàng uy tín, từ đó cài cắm mã độc có tên NFCShare nhằm chiếm đoạt tài sản của nạn nhân.

Chiêu trò dẫn dụ nạn nhân sập bẫy của kẻ tấn công

Chiến dịch tấn công này được ghi nhận bắt đầu bùng phát từ ngày 14 tháng 5. Kịch bản lừa đảo thường diễn ra theo các bước tinh vi nhằm thao túng tâm lý người dùng:

• Bước 1: Kẻ tấn công dẫn dụ người dùng truy cập vào một trang web lừa đảo có giao diện giống hệt ngân hàng thật để yêu cầu họ cung cấp thông tin đăng nhập.

• Bước 2: Sau khi có thông tin, hệ thống sẽ đưa ra thông báo yêu cầu nạn nhân phải cập nhật ứng dụng ngân hàng của mình.

• Bước 3: Người dùng bị điều hướng sang một kho lưu trữ trên nền tảng GitHub để tải về tệp cài đặt (APK) có chứa mã độc.

Theo thông tin từ các nhà nghiên cứu, kho lưu trữ GitHub này được thiết lập từ ngày 10 tháng 4. Tính đến nay, nó đã chứa 56 tệp APK độc lập, giả mạo ứng dụng di động của nhiều tổ chức tài chính lớn, chủ yếu tập trung tại Ý, Tây Ban Nha và Đức (riêng trường hợp tại Đức được ghi nhận vào tháng Giêng).

Bên cạnh đó, các chuyên gia từ D3Lab cho biết, dù chưa trực tiếp quan sát thấy trong chiến dịch này, nhưng kẻ gian hoàn toàn có thể kết hợp thêm các thủ thuật thao túng tâm lý khác như gửi tin nhắn SMS hoặc gọi điện mạo danh nhân viên ngân hàng để thúc ép nạn nhân cài đặt.

Cách thức mã độc NFCShare hút dữ liệu từ thẻ ngân hàng

Mục tiêu cốt lõi của các biến thể NFCShare mới là thu thập thông tin thẻ thanh toán của khách hàng. Khi đã được cài đặt thành công vào thiết bị, mã độc sẽ thực hiện hành vi trộm cắp thông qua cơ chế sau:

• Mã độc hiển thị một màn hình xác minh giả, yêu cầu người dùng đặt thẻ ngân hàng lại gần vị trí chip kết nối cận trường (NFC) của điện thoại.

• Khi người dùng làm theo, NFCShare sẽ tận dụng giao diện IsoDep của Android cùng các lệnh EMV để đọc thông tin trực tiếp từ thẻ.

• Các dữ liệu quan trọng bao gồm: số thẻ, loại thẻ, ngày hết hạn và cả mã PIN gồm 4 chữ số (do chính nạn nhân tự nhập vào vì tin rằng đây là bước xác thực bảo mật) đều bị thu thập.

• Toàn bộ thông tin này nhanh chóng được gửi về máy chủ điều khiển (C2) của tội phạm mạng thông qua kênh giao tiếp WebSocket.

Nguồn dữ liệu bị rò rỉ này sau đó có thể bị kẻ xấu lợi dụng cho các hình thức lừa đảo chuyển tiếp thanh toán qua NFC, tương tự như phương thức từng được ghi nhận trong các chiến dịch sử dụng mã độc NGate, SuperCard X hay RelayNFC.

Thủ thuật che giấu tinh vi nhằm né tránh các bộ quét bảo mật

Điểm đáng chú ý ở phiên bản NFCShare lần này là việc áp dụng kỹ thuật đóng gói tệp APK bị lỗi một cách cố ý. Về bản chất, tệp APK vẫn là một định dạng nén ZIP. Tuy nhiên, kẻ phát triển mã độc đã cố tình tạo ra các đường dẫn tệp sai định dạng bên trong tệp nén đó.

Thủ thuật này khiến cho một số công cụ giải nén tự động hiểu lầm các đường dẫn tương đối bên trong là đường dẫn hệ thống và báo lỗi. Các nhà nghiên cứu tại D3Lab lưu ý rằng, biện pháp này không thể ngăn cản các chuyên gia phân tích mã độc bằng phương pháp thủ công hay khôi phục mã nguồn, nhưng nó lại rất hiệu quả trong việc làm gián đoạn và qua mặt quá trình quét tĩnh tự động của một số công cụ bảo mật.

Để không trở thành nạn nhân của mã độc NFCShare, người dùng Android cần nâng cao cảnh giác và chú ý các nguyên tắc an toàn sau:

• Chỉ tìm kiếm và tải về các ứng dụng ngân hàng từ kho ứng dụng chính thức Google Play.

• Luôn kích hoạt tính năng bảo mật Play Protect trên thiết bị di động.

• Hết sức cảnh giác trước bất kỳ yêu cầu quét thẻ qua tính năng NFC nào xuất hiện trên màn hình dưới danh nghĩa "xác minh tài khoản".