Một mã độc đánh cắp thông tin tài khoản vừa xuất hiện tại Việt Nam, chuyên gia cảnh báo về ‘sự yếu ớt’ của các app tài chính ngân hàng

Theo Temenos, thanh toán không tiền mặt, trí tuệ nhân tạo (AI) và ESG (môi trường - xã hội - quản trị) sẽ là những xu hướng then chốt giúp thúc đẩy quá trình phát triển của ngành ngân hàng số.

Tại sự kiện Asian Banking & Finance Forum (ABFF 2024) diễn ra ngày 12/3 tại TP.HCM, các doanh nghiệp tài chính - ngân hàng tập trung làm rõ các hướng đi mới phù hợp với xu hướng chung này. Đại diện từ các doanh nghiệp tài chính hàng đầu đã đưa ra nhiều định hướng phát triển thú vị phù hợp với xu hướng digital banking hiện nay như “OmniBanking”, “Banking Mini apps” cũng như cách quản lý Data Privacy trong thời đại AI.

Đây cũng là lần đầu tiên một sự kiện về ngành tài chính - ngân hàng thuộc khu vực châu Á có sự xuất hiện của đơn vị chuyên về bảo mật và an ninh mạng như Verichains, với giải pháp BShield (giải pháp bảo mật ứng dụng hoàn toàn được phát triển bởi đội ngũ kỹ sư Việt) giúp doanh nghiệp tài chính - ngân hàng có thể yên tâm khi ứng dụng được bảo vệ trước các cuộc tấn công của hacker đang âm thầm gây thất thoát/đánh cắp hàng tỷ đồng như hiện nay.

Tại ABFF 2024, đại diện Verichains có một bài thuyết trình về các trường hợp tấn công, đánh cắp thông tin thông qua ứng dụng tài chính- ngân hàng và tầm quan trọng của việc Shield ứng dụng trong xu hướng Open Banking (ngân hàng mở) và Open API.

Mã độc nguy hiểm có khả năng đánh cắp thông tin tài khoản và thực hiện xác thực sinh trắc học đã xuất hiện tại Việt Nam

Ông Troy Lê, Giám đốc Kinh doanh Giải pháp Bảo mật của Verichains cho biết mã độc có tên Trojan GoldDigger đã được kích hoạt và hoạt động từ tháng 6/2023 đang nhắm vào người dùng của hơn 50 ứng dụng ngân hàng, ví điện tử nhằm mục đích đánh cắp tài sản. Hiện Việt Nam và Thái Lan là 2 thị trường đã ghi nhận sự xuất hiện của mã độc này.

Mã độc này giả mạo cổng thông tin chính phủ và ứng dụng của 1 công ty năng lượng, lợi dụng chức năng Android Accessibility (trợ năng) để trích xuất thông tin cá nhân, đánh cắp dữ liệu ứng dụng, đọc trộm tin nhắn và chiếm quyền điều khiển thiết bị người dùng từ xa. Hiện chưa có thống kê chính xác bao nhiêu thiết bị đã bị nhiễm mã độc này.

Cụ thể, khi thâm nhập vào điện thoại và được trao quyền Accessibility, GoldDigger sẽ tự định vị chính xác 50 ứng dụng tài chính ngân hàng cũng như ví điện tử, ví crypto trên điện thoại để thực hiện việc đánh cắp thông tin mật khẩu và xem trộm tin nhắn… Sau khi thu thập đủ dữ liệu cần thiết, GoldDigger sẽ lọc các trường thông tin này gửi đến các các máy chủ điều khiển & kiểm soát (Command & Control servers). Từ đó hacker có thể đánh cắp tài sản từ các ứng dụng ngân hàng hoặc sử dụng danh tính trộm cắp để tạo tài khoản vay tiền.

Thị trường ghi nhận xuất hiện mã độc này bao gồm Thái Lan và Việt Nam.

Một số biến thể của GoldDigger được ghi nhận cho đến nay gồm:

GoldDigger: Hoạt động trên Android, lợi dụng quyền trợ năng để hỗ trợ tội phạm mạng để kiểm soát thiết bị.

GoldDiggerPlus: dạng mã độc GoldDigger được mở rộng phạm vi hoạt động tấn công.

GoldKefu: nằm ẩn bên trong GoldDiggerPlus, chứa các trang web giả mạo và có khả năng tạo cuộc gọi ảo đến nạn nhân theo thời gian thực.

GoldPickaxe: hoạt động trên cả nền tảng Android và iOS, được dùng để trích xuất thông tin cá nhân và dữ liệu sinh trắc học của người dùng.

Theo ghi nhận của các chuyên gia, trong tháng 3/2024, đã có 1 khách hàng bị mất số tiền hơn 800 triệu đồng sau khi click vào link lạ và thiết bị tự thực hiện hàng loạt các thao tác chuyển tiền và xác thực sinh trắc học. Dù chưa có chứng cứ chứng thực việc này là do mã độc GoldPickaxe nhưng với sự phổ biến của mã độc GoldDigger tại Việt Nam thì đây có thể là dấu hiệu tội phạm mạng đang bắt đầu triển khai GoldPickaxe tại Việt Nam.

Chuyên gia khuyến cáo gì?

Từ góc nhìn của chuyên gia bảo mật, hiện trạng tấn công này tập trung vào 3 yếu điểm từ các ứng dụng tài chính ngân hàng gồm: 1. Chưa có cơ chế phát hiện thiết bị không đảm bảo an toàn để có phương án ngăn chặn kịp thời: 2. lỗ hổng từ mã nguồn ứng dụng bị khai thác, từ đó làm căn cứ để các mã độc can thiệp và thay đổi cách thức hoạt động của ứng dụng và 3. Quá trình ứng dụng hoạt động thiếu cơ chế kiểm tra liên tục

Theo chuyên gia của Verichains, giải pháp BShield có khả năng giải quyết hoàn toàn những rắc rối trên nhờ cung cấp môi trường BShield OS để doanh nghiệp tạo lớp “bọc” ứng dụng trước khi phát hành đến tay người dùng, bảo vệ người dùng và doanh nghiệp ngay cả lúc thiết bị nhiễm mã độc.

Ngoài ra, BShield có thể phát hiện và cảnh báo can thiệp theo thời gian thực kể cả lúc ứng dụng ở trạng thái đang nghỉ hay đang hoạt động thông qua cơ chế mã hoá White-box Cryptography và Bảng theo dõi trực tuyến.

BShield cũng có thể ngăn chặn các dạng tấn công khai thác lỗ hổng, điểm yếu hệ thống, phát hiện các tấn công can thiệp từ sớm để nâng cao hàng rào bảo mật.

Một điểm quan trọng khác là khi ứng dụng chưa được nâng cấp lớp Shield, quá trình gửi thông tin từ ứng dụng về máy chủ có thể bị đưa vào tầm ngắm của các đối tượng tấn công. Từ đây doanh nghiệp cần nâng cao bảo mật qua cơ chế Bảo Vệ API, đảm bảo thông tin chỉ được ghi nhận từ ứng dụng đã được shield và các không bị xem lén/ chỉnh sửa trong quá trình truyền về máy chủ. Phía BShield cũng chia sẻ số liệu được ghi nhận từ khách hàng đã sử dụng kết hợp BShield OS và Bảo vệ API sau tháng đầu sử dụng có thể tối ưu 20% chi phí vận hành SMS OTP và Máy Chủ.

Theo anh Troy Lê, BShield sẽ sở hữu thêm lớp bảo vệ thứ 3 được xây dựng, tinh chỉnh riêng theo nhu cầu thực tế của phía doanh nghiệp tài chính - ngân hàng hàng để đảm bảo tính phù hợp và linh hoạt theo hạ tầng số của doanh nghiệp. Đặc biệt tính năng ngăn chặn việc đánh cắp API key nhận được quan tâm của của nhiều đơn vị tài chính trong khuôn khổ ABFF.