- Zscaler phát hiện 239 ứng dụng độc hại trên Google Play và hơn 42 triệu lượt tải xuống
- Các chiến dịch mới: trojan ngân hàng có lớp phủ, phần mềm gián điệp "Landfall" và gian lận NFC với NGate
- Phần mềm độc hại trên thiết bị di động tăng 67% so với cùng kỳ năm trước; phần mềm quảng cáo chiếm ưu thế (69%) và Châu Âu ghi nhận mức tăng cao nhất ở các quốc gia như Ý
- Hướng dẫn bảo vệ: quyền, cập nhật, Play Protect, xác minh ứng dụng và giám sát tài khoản
Điện thoại Android vẫn là tâm điểm chú ý và theo nghiên cứu mới nhất, Triển vọng không hẳn là bình lặng.. Giữa Trojan ngân hàng làm mất tiền trong tài khoản, Phần mềm gián điệp khai thác lỗ hổng zero-day và gian lận không tiếp xúcBề mặt tấn công phát triển theo xu hướng áp dụng kỹ thuật số ở Châu Âu và Tây Ban Nha.
Trong những tuần trước Các chiến dịch và dữ liệu đã được đưa ra ánh sáng, vẽ nên một bức tranh phức tạp: 239 ứng dụng độc hại trên Google Play tích lũy hơn 42 triệu lượt tải xuống, một Trojan ngân hàng mới với lớp phủ có khả năng kiểm soát thiết bị, một phần mềm gián điệp được gọi là Hạ cánh thấm qua Hình ảnh DNG và một kế hoạch sao chép thẻ qua NFC (NGate) có nguồn gốc từ Châu Âu và mở rộng sang Châu Mỹ Latinh.
Một cái nhìn tổng quan về sự gia tăng của phần mềm độc hại di động trên Android
Báo cáo mới nhất của Zscaler cho thấy rằng từ tháng 6 năm 2024 đến tháng 5 năm 2025 Google Play lưu trữ 239 ứng dụng độc hại đã vượt quá 42 triệu lượt cài đặt. Hoạt động phần mềm độc hại trên thiết bị di động tăng trưởng 67% so với cùng kỳ năm trước, với sự hiện diện đặc biệt trong danh mục công cụ và năng suất, nơi kẻ tấn công ngụy trang thành các tiện ích có vẻ hợp pháp.
Sự phát triển này thể hiện rõ sự thay đổi về chiến thuật: Phần mềm quảng cáo chiếm 69% số lần phát hiệntrong khi gia đình Joker giảm xuống còn 23%. Theo quốc gia, Ấn Độ (26%), Hoa Kỳ (15%) và Canada (14%) dẫn đầu về số liệu thống kê, nhưng ở châu Âu, đã có sự sụt giảm. sự gia tăng đáng chú ý ở Ývới mức tăng rất mạnh theo từng năm và cảnh báo về khả năng rủi ro lan rộng đến phần còn lại của lục địa.
Đối mặt với tình huống này, Google đã thắt chặt quyền kiểm soát của mình đối với hệ sinh thái nhà phát triển với các biện pháp xác minh danh tính bổ sung để phát hành trên Android. Mục đích là nâng cao tiêu chuẩn xâm nhập và truy xuất nguồn gốc, giảm khả năng tội phạm mạng phân phối phần mềm độc hại thông qua các cửa hàng chính thức.
Ngoài khối lượng, sự tinh vi cũng là một mối quan tâm: Zscaler nêu bật những gia đình đặc biệt năng động, trong số đó Anatsa (Trojan ngân hàng), Android Void/Vo1d (cửa hậu trong các thiết bị có AOSP cũ, với hơn 1,6 triệu thiết bị bị ảnh hưởng) và XnoticeMột loại RAT được thiết kế để đánh cắp thông tin đăng nhập và mã 2FA. Ở Châu Âu, các tổ chức tài chính và người dùng ngân hàng di động Chúng mang lại rủi ro rõ ràng.
Các chuyên gia chỉ ra sự thay đổi từ gian lận thẻ tín dụng cổ điển sang thanh toán di động và công nghệ xã hội (lừa đảo, tin nhắn SMS và hoán đổi SIM), đòi hỏi phải nâng cao ý thức vệ sinh kỹ thuật số của người dùng cuối và tăng cường bảo vệ các kênh di động của các tổ chức.
Android/BankBot-YNRK: Lớp phủ, Khả năng truy cập và Trộm cắp ngân hàng
Các nhà nghiên cứu Cyfirma đã ghi nhận một trojan ngân hàng cho Android được gọi là “Android/BankBot‑YNRK”, nó được thiết kế để mạo danh các ứng dụng hợp pháp và sau đó kích hoạt Dịch vụ Trợ năng cho giành quyền kiểm soát hoàn toàn của thiết bị. Đặc điểm của nó là các cuộc tấn công phủ lớp: nó tạo ra màn hình đăng nhập giả mạo về các ứng dụng ngân hàng và tiền điện tử thực sự để thu thập thông tin đăng nhập.
Phân phối kết hợp các Cửa hàng play (theo từng đợt vượt qua bộ lọc) với các trang lừa đảo cung cấp APK, sử dụng tên gói và tiêu đề bắt chước các dịch vụ phổ biến. Trong số các mã định danh kỹ thuật được phát hiện có một số Băm SHA-256 và người ta suy đoán rằng hoạt động này sẽ diễn ra dưới Phần mềm độc hại dưới dạng dịch vụ, giúp mở rộng sang nhiều quốc gia khác nhau, bao gồm cả Tây Ban Nha.
Khi đã vào bên trong, nó sẽ yêu cầu cấp quyền truy cập, tự thêm mình vào vai trò quản trị viên thiết bị và đọc những gì hiển thị trên màn hình. nhấn các nút ảo và điền vào biểu mẫuNó cũng có thể chặn mã 2FA, thao túng thông báo và tự động chuyển tiềntất cả đều không gây ra bất kỳ nghi ngờ rõ ràng nào.
Các nhà phân tích liên kết mối đe dọa này với họ BankBot/Anubis, hoạt động từ năm 2016, với nhiều biến thể Chúng tiến hóa để trốn tránh phần mềm diệt vi-rút và kiểm soát cửa hàng. Các chiến dịch này thường nhắm vào các ứng dụng tài chính được sử dụng rộng rãi, điều này làm tăng tác động tiềm ẩn nếu không được phát hiện kịp thời.
Đối với người dùng và doanh nghiệp ở EU, khuyến nghị là tăng cường kiểm soát quyềnXem lại cài đặt trợ năng và theo dõi hành vi của các ứng dụng tài chính. Nếu nghi ngờ, tốt nhất bạn nên gỡ cài đặt, quét thiết bị và thay đổi thông tin đăng nhập phối hợp với đơn vị.
Landfall: Hoạt động gián điệp thầm lặng sử dụng hình ảnh DNG và lỗi zero-day
Một cuộc điều tra khác, do Đơn vị 42 của Palo Alto Networks dẫn đầu, đã phát hiện ra một phần mềm gián điệp cho Android gọi Hạ cánh đã khai thác lỗ hổng zero-day trong thư viện xử lý hình ảnh (libimagecodec.quram.so) để thực thi mã khi giải mã các tập tin DNGVậy là đủ rồi. nhận hình ảnh qua tin nhắn để có thể thực hiện cuộc tấn công mà không cần tương tác.
Những dấu hiệu đầu tiên có từ tháng 7 năm 2024 và phán quyết được phân loại là CVE ‑ 2025‑21042 (với bản sửa lỗi bổ sung CVE-2025-21043 tháng sau đó). Chiến dịch được nhắm mục tiêu với sự nhấn mạnh đặc biệt Thiết bị Samsung Galaxy và có tác động lớn nhất ở Trung Đông, mặc dù các chuyên gia cảnh báo về khả năng dễ dàng mở rộng hoạt động về mặt địa lý của những hoạt động này.
Một khi đã cam kết, Cho phép khai thác đất liền ảnh mà không cần tải chúng lên đám mâytin nhắn, danh bạ và nhật ký cuộc gọi, ngoài kích hoạt micrô một cách bí mậtTính mô-đun của phần mềm gián điệp và sự tồn tại của nó trong gần một năm mà không bị phát hiện nhấn mạnh bước nhảy vọt trong sự tinh tế đang được thực hiện bởi các mối đe dọa di động tiên tiến.
Để giảm thiểu rủi ro, điều quan trọng là Áp dụng bản cập nhật bảo mật của nhà sản xuất, hạn chế tiếp xúc với các tệp nhận được từ những người liên hệ chưa được xác minh và duy trì cơ chế bảo vệ hệ thống., cả trong các thiết bị đầu cuối cá nhân và trong đội xe của công ty.
NGate: Sao chép thẻ NFC, từ Cộng hòa Séc đến Brazil
Cộng đồng an ninh mạng cũng đã tập trung vào Cổng NGate, One Phần mềm độc hại Android được thiết kế để gian lận tài chính bằng cách lạm dụng NFC para sao chép dữ liệu thẻ và mô phỏng chúng trên một thiết bị khác. Các chiến dịch đã được ghi nhận ở Trung Âu (Cộng hòa Séc) liên quan đến việc mạo danh các ngân hàng địa phương và một sự phát triển tiếp theo nhằm vào người dùng ở Brazil.
Sự lừa dối kết hợp giữa tin nhắn văn bản, kỹ thuật xã hội và việc sử dụng PWA/WebAPK và các trang web giả mạo Google Play để dễ dàng cài đặt. Khi đã xâm nhập, nó hướng dẫn nạn nhân kích hoạt NFC và nhập mã PIN, chặn giao dịch và chuyển tiếp bằng các công cụ như Cổng NFC, cho phép rút tiền mặt tại ATM và thanh toán qua POS không tiếp xúc.
Nhiều nhà cung cấp khác nhau Họ phát hiện các biến thể dưới các thẻ như Android/Spy.NGate.B và thuật toán tìm kiếm Trojan-BankerMặc dù không có bằng chứng công khai nào về các chiến dịch đang hoạt động ở Tây Ban Nha, các kỹ thuật được sử dụng là có thể chuyển nhượng cho bất kỳ khu vực nào với dịch vụ ngân hàng không tiếp xúc được áp dụng rộng rãi.
Cách giảm thiểu rủi ro: các biện pháp tốt nhất
Trước khi cài đặt, hãy dành vài giây để kiểm tra biên tập viên, xếp hạng và ngày của ứng dụng. Hãy cẩn thận với những yêu cầu cấp quyền không khớp với chức năng đã nêu. (đặc biệt Khả năng tiếp cận và quản trị của thiết bị).
Giữ nguyên hệ thống và ứng dụng luôn cập nhậtKích hoạt Google Play Protect và quét thường xuyên. Trong môi trường doanh nghiệp, nên triển khai các chính sách MDM. danh sách khối và giám sát dị thường của đội tàu.
Tránh tải xuống APK từ các liên kết trong tin nhắn SMS, mạng xã hội hoặc email và tránh xa... các trang mô phỏng Google PlayNếu ứng dụng ngân hàng yêu cầu mã PIN thẻ hoặc yêu cầu bạn giữ thẻ gần điện thoại, hãy cảnh giác và kiểm tra với ngân hàng của bạn.
Nếu bạn nhận thấy dấu hiệu nhiễm trùng (dữ liệu bất thường hoặc mức tiêu thụ pin, thông báo lạ(màn hình chồng lên nhau), ngắt kết nối dữ liệu, gỡ cài đặt các ứng dụng đáng ngờ, quét thiết bị và thay đổi thông tin đăng nhập. Liên hệ với ngân hàng nếu bạn phát hiện phong trào trái phép.
Trong phạm vi chuyên môn, Nó kết hợp các IoC được các nhà nghiên cứu công bố (tên miền, băm và các gói tin được quan sát) vào danh sách chặn của bạn và phối hợp phản hồi với CSIRT của khu vực để cắt chuỗi có thể của nhiễm trùng.
Hệ sinh thái Android đang trải qua giai đoạn chịu áp lực cao từ tội phạm mạng: từ ứng dụng độc hại trong các cửa hàng chính thức Bao gồm Trojan ngân hàng có lớp phủ, phần mềm gián điệp khai thác hình ảnh DNG và gian lận NFC bằng cách giả lập thẻ. Với các bản cập nhật mới nhất, thận trọng trong quá trình cài đặt và giám sát chặt chẽ quyền truy cập và giao dịch ngân hàng, bạn hoàn toàn có thể ngăn chặn chúng. giảm đáng kể sự tiếp xúc cả người dùng cá nhân và tổ chức ở Tây Ban Nha và các nước châu Âu khác.
Tôi là một người đam mê công nghệ và đã biến sở thích “đam mê” của mình thành một nghề. Tôi đã dành hơn 10 năm cuộc đời mình để sử dụng công nghệ tiên tiến và mày mò đủ loại chương trình chỉ vì tò mò. Bây giờ tôi chuyên về công nghệ máy tính và trò chơi điện tử. Điều này là do trong hơn 5 năm, tôi đã viết cho nhiều trang web khác nhau về công nghệ và trò chơi điện tử, tạo ra các bài viết nhằm cung cấp cho bạn thông tin bạn cần bằng ngôn ngữ mà mọi người đều có thể hiểu được.
Nếu bạn có bất kỳ câu hỏi nào, kiến thức của tôi bao gồm mọi thứ liên quan đến hệ điều hành Windows cũng như Android dành cho điện thoại di động. Và cam kết của tôi là với bạn, tôi luôn sẵn sàng dành một vài phút và giúp bạn giải quyết mọi thắc mắc mà bạn có thể có trong thế giới internet này.