ABBank mới đây vừa phát đi thông tin cảnh báo mã độc Anatsa đánh cắp tài khoản NH trên Android. Nhà băng này cho biết, đây là một loại mã độc chuyên đánh cắp thông tin tài chính trên thiết bị sử dụng hệ điều hành Android, đang lây lan mạnh trên toàn cầu.
Mã độc Anatsa thường giả dạng các ứng dụng tiện ích như PDF reader, Document reader, … xuất hiện trên các cửa hàng ứng dụng chính thống để dụ dỗ người dùng cài đặt. Sau khi đã cài vào máy, ứng dụng này sẽ tải “bản cập nhật” mã độc để thực hiện hành vi tấn công.
Cơ chế tấn công của mã độc này là ngụy trang dưới các ứng dụng hợp pháp và đưa lên Google Play lừa người dùng cài đặt. Sau khi được cài đặt, ứng dụng sẽ yêu cầu các quyền nhạy cảm như Trợ năng (Accessibility) hoặc SMS để theo dõi và chiếm quyền điều khiển thiết bị. Khi người dùng mở tài khoản NH, mã độc sẽ chèn màn hình giả mạo giống ứng dụng NH để lừa người dùng nhập thông tin nhằm lấy cắp mật khẩu, mã OTP.
Các dấu hiệu nhận biết mã độc này là ứng dụng yêu cầu quyền đặc biệt như quyền Trợ năng (Accessibility) hoặc quyền SMS, yêu cầu cập nhật bất thường như tự động mở ứng dụng NH và yêu cầu đăng nhập lại hoặc bảo trì ứng dụng, xuất hiện thông báo (overlay/ pop-up) lạ khi mở ứng dụng ngân hàng.
Ngoài ra còn có các hiện tượng như thiết bị hoạt động chậm, pin sụt nhanh hoặc dữ liệu di động tăng đột biến, hay nhận được mã xác thực OTP bất thường hoặc bị trễ/không đến.
Giữa tháng 8-2025, Kienlongbank cũng đã có cảnh báo về một biến thể mới tinh vi của mã độc BianLian 2025 (thuộc dòng Trojan Banking) có khả năng giả lập giao diện ứng dụng NH y như thật, ghi lại mọi thao tác đăng nhập và mã OTP, đang trở thành mối đe dọa nguy hiểm hàng đầu với người dùng dịch vụ NH số.
BianLian 2025 đã được phát hiện tái xuất trở lại với hình thức tấn công mới, tinh vi và khó nhận biết hơn trước. Mã độc này thường ẩn mình trong các ứng dụng giả mạo như VNeID giả, app dịch vụ công, ứng dụng tiện ích hoặc trò chơi. Người dùng có thể vô tình tải mã độc từ các đường link lạ được chia sẻ qua tin nhắn, mạng xã hội, hoặc website không chính thức.
Sau khi được cài đặt, BianLian 2025 sẽ âm thầm hoạt động ngầm trong thiết bị, chờ đến khi người dùng mở ứng dụng NH. Lúc này, mã độc sẽ lập tức phủ lên một giao diện giả mạo trùng khớp hoàn toàn với giao diện NH thật. Người dùng không hề nhận ra và tiếp tục thao tác như bình thường, nhập tên đăng nhập, mật khẩu, OTP. Toàn bộ thông tin sẽ bị ghi lại và gửi thẳng về máy chủ của kẻ tấn công.
Thậm chí, mã độc còn có khả năng phân tích thói quen gõ phím của người dùng để cải tiến độ chính xác của giao diện giả, khiến hành vi lừa đảo trở nên khó phát hiện hơn bao giờ hết.
Gần đây nhất vào ngày 21-10, Công an tỉnh Hưng Yên cũng phát đi cảnh báo cho biết thời gian gần đây, trên các nền tảng mạng xã hội Facebook, Tiktok,...xuất hiện nhiều bài đăng quảng cáo các ứng dụng có tên gọi như “Phần mềm quản lý gia đình”, “App định vị người thân”, “Ứng dụng đọc tin nhắn của chồng/vợ”, “Theo dõi người yêu”,... kèm theo hình ảnh, video minh họa hấp dẫn, hứa hẹn giúp người dùng định vị, giám sát, đọc trộm tin nhắn, cuộc gọi của người khác.
Các đối tượng quảng cáo ứng dụng với nội dung khơi gợi sự tò mò, đánh vào tâm lý muốn kiểm soát bạn bè, người thân,... lừa người dùng tải về, nhưng thực chất đây là các ứng dụng gián điệp hoặc phần mềm chứa mã độc.
Khi cài đặt các ứng dụng này, người dùng có thể bị thu thập thông tin cá nhân, danh bạ, tin nhắn, tài khoản mạng xã hội, tài khoản NH, theo dõi vị trí, nghe lén, quay lén hoặc chiếm quyền điều khiển thiết bị. Từ đó, các đối tượng lợi dụng dữ liệu thu được để tống tiền, lừa đảo hoặc phát tán thông tin nhạy cảm của nạn nhân.
Công an tỉnh Hưng Yên khuyến cáo người dân tuyệt đối không tải hoặc cài đặt các phần mềm, ứng dụng không rõ nguồn gốc, đặc biệt là những ứng dụng được quảng cáo có khả năng “đọc trộm tin nhắn”, “định vị người thân”, “theo dõi người khác”. Không cung cấp thông tin cá nhân, tài khoản NH, mã OTP cho bất kỳ ứng dụng, website hoặc đường link lạ nào. Thường xuyên cập nhật phần mềm bảo mật trên điện thoại, máy tính và chỉ cài đặt ứng dụng qua các kho chính thống như Google Play hoặc App Store.
Trong khi đó, các NH khuyến cáo khách hàng luôn kiểm tra kỹ thông tin của nhà phát triển trước khi tải về, từ chối các quyền không cần thiết, kích hoạt 2FA với xác thực sinh trắc học cho các tài khoản NH. Đồng thời, gỡ cài đặt ứng dụng đáng ngờ, nếu không gỡ được cần vô hiệu hóa quyền quản trị thiết bị của ứng dụng đó trước, tắt quyền của tất cả các ứng dụng không rõ nguồn gốc, báo cáo ngay cho NH nếu phát hiện giao dịch lạ hoặc nghi ngờ tài khoản bị xâm nhập.
