Các chuyên gia an ninh mạng vừa phát hiện mã độc Anatsa đã xâm nhập vào hơn 50.000 thiết bị Android bằng cách ngụy trang dưới dạng một ứng dụng văn phòng có tên “All Document Reader” – công cụ vốn được nhiều người tải về để đọc tài liệu.

Ẩn sau lớp vỏ tưởng chừng vô hại, Anatsa được lập trình với mục đích chính là chiếm đoạt tiền trong tài khoản ngân hàng của nạn nhân. Đây không phải là mối đe dọa mới khi mã độc này đã xuất hiện từ năm 2020 với các tên gọi khác như TeaBot hay Toddler, từng gây ra nhiều vụ tấn công tài chính nghiêm trọng, đặc biệt tại châu Âu.

Điểm đáng lo ngại trong chiến dịch lần này, theo cảnh báo của nhóm nghiên cứu Zscaler ThreatLabz công bố chiều 3/2, nằm ở phương thức lẩn tránh tinh vi. Thay vì tích hợp sẵn mã độc khi phát hành ứng dụng – hành vi dễ bị hệ thống kiểm duyệt của Google phát hiện – tin tặc đưa lên Play Store một phiên bản hoàn toàn “sạch” để tạo độ tin cậy. Sau khi ứng dụng được cài đặt rộng rãi, mã độc mới được kích hoạt thông qua một bản cập nhật bí mật từ máy chủ bên ngoài.

Cách thức này khiến ngay cả những người dùng cẩn trọng cũng khó nhận biết rủi ro. Khi đã chiếm quyền kiểm soát thiết bị, Anatsa triển khai kỹ thuật lớp phủ giả mạo. Mỗi khi người dùng mở ứng dụng ngân hàng hợp pháp, mã độc sẽ hiển thị một giao diện giả giống hệt để đánh lừa. Thông tin đăng nhập mà nạn nhân nhập vào lập tức bị gửi về cho tin tặc, tạo điều kiện cho chúng chiếm quyền tài khoản và thực hiện các giao dịch trái phép.

Sau khi nhận được cảnh báo, Google đã gỡ bỏ ứng dụng “All Document Reader” khỏi Play Store. Tuy vậy, nguy cơ vẫn tồn tại đối với những thiết bị đã cài đặt ứng dụng này trước đó. Người dùng được khuyến cáo xóa ứng dụng ngay lập tức, đồng thời đổi mật khẩu các dịch vụ tài chính và theo dõi sát sao lịch sử giao dịch trong thời gian tới.

Vụ việc tiếp tục là lời nhắc nhở về nguy cơ tiềm ẩn từ các ứng dụng tưởng chừng vô hại. Người dùng cần thận trọng, kiểm tra kỹ nguồn gốc và đánh giá trước khi tải về bất kỳ phần mềm nào, kể cả các công cụ văn phòng đơn giản.