Theo trang Softpedia, nếu bạn nghĩ: Google "đã làm sạch Play Store" sau khi ra mắt tính năng bảo vệ Play Protect, thì bạn đã nhầm to rồi đấy!.

Điều này hoàn toàn đúng bởi mới đây, nhà nghiên cứu bảo mật Lukas Stefanko (thuộc hãng phần mềm bảo mật ESET) đã phát hiện ra tới 29 ứng dụng Android bị nhiễm trojan ngân hàng, và chỉ tính trong khoảng thời gian từ tháng 8-10/2018 thôi.

Theo Softpedia, trojan ngân hàng ẩn nấp trong 29 ứng dụng Android chủ yếu liên quan đến các tiện ích dọn dẹp hệ thống, quản lý pin, tăng tốc độ download/upload cho máy hay các ứng dụng về tử vi.

Trước đây, các "ứng dụng ngân hàng giả mạo" và các hình thức lừa đảo đơn giản kiểu này đã bị phát giác dễ dàng thì nay, với trojan ngân hàng ẩn trong các ứng dụng Android hợp pháp, người dùng sẽ chẳng thể nào phát hiện được hoặc có một sự cảnh giác nhất định. Chiêu trò "lấp liếm" cực kỳ tinh vi của ứng dụng chứa trojan ngân hàng, đó là thông báo với người dùng rằng: hệ thống đã xóa ứng dụng khỏi máy.

Còn theo trang Stefanko, 29 ứng dụng Android bị nhiễm trojan ngân hàng do các hacker điều khiển từ xa đã bị Google xóa phỏi Play Store sau khi gã khổng lồ tìm kiếm tiếp nhận được thông tin. Tuy nhiên, ngay cả khi đã bị xóa, người dùng không may tải về các ứng dụng này trước đó vẫn có thể bị thu thập thông tin trái phép. Trang Stefanko ước tính, khoảng 30.000 người có thể đã tải về các ứng dụng này.

Như vậy, mặc dù 29 ứng dụng bị phát hiện trong khoảng thời gian từ tháng 8-10/2018 - mặc dù đã được Google xóa bỏ, vẫn có thể lây nhiễm trojan ngân hàng cho khoảng 30 ngàn thiết bị Android và có thể bạn cũng nằm trong số đó. Trong đó, hầu hết là các ứng dụng chứa trojan ngân hàng kiểu này đều được ngụy trang dưới vỏ bọc là các ứng dụng tăng tốc, dọn rác, tiết kiệm pin.

Theo các chuyên gia, khác với các ứng dụng ngân hàng giả mạo mà người dùng gặp phải trước đây, trojan ngân hàng phức tạp hơn nhiều, và cách chúng tiếp cận, đánh cắp thông tin của bạn cũng tinh vi hơn trước rất nhiều.

Sau khi khởi động, nó hiển thị lỗi "xác nhận ứng dụng đã bị xóa", do không tương thích với thiết bị của nạn nhân. Nhưng thực tế thì không phải như vậy. Chúng vẫn còn tồn tại trong hệ thống hoặc giả vờ không hoạt động thôi.

Đáng quan ngại là, trojan ngân hàng có thể mạo danh bất kỳ ứng dụng nào được cài đặt trên thiết bị Android, bằng cách sử dụng mã HTML của ứng dụng chúng muốn bắt chước và tạo ra các overlay có nhiệm vụ đánh cắp và xuất dữ liệu.

Thêm vào đó, dù các ứng dụng chứa trojan ngân hàng này được tải lên từ các nhà phát triển khác nhau, nhưng các chuyên gia phát hiện ra rằng: tất cả đều có điểm chung về mã code, máy chủ C&C. Như vậy rất có thể tất cả ứng dụng này đều do một kẻ hoặc nhóm tấn công duy nhất.

Đây không phải lần đầu tiên các trojan ngân hàng sử dụng kỹ thuật lừa đảo phishing. Vào tháng trước,  chính Lukas Stefanko đã phát hiện ra một trojan ngân hàng ẩn mình trong một ứng dụng ghi âm cuộc gọi. Theo đó, trojan này đã sử dụng overlay (lớp phủ) để qua mặt tính năng xác thực hai yếu tố bằng SMS và ăn cắp thông tin ngân hàng của người dùng.

Những trojan này thường "ẩn mình" trong smartphone của người dùng và chỉ trực chờ khi người dùng có phát sinh giao dịch ngân hàng, nó sẽ "bật ra" để đánh cắp thông tin thanh toán và tài khoản của bạn.

Các ứng dụng độc hại thường tấn công thiết bị của người dùng theo từng giai đoạn. Ở giai đoạn đầu tiên, chúng sẽ kiểm tra xem máy có "hộp cát", trình giả lập hay không, trước khi tải xuống mã độc khi đã chắc chắn máy của bạn là một thiết bị Android.

Bên cạnh mục đích đánh cắp thông tin ngân hàng, trojan ngân hàng còn chặn và chuyển hướng tin nhắn văn bản SMS xác thực hai yếu tố, chặn nhật ký cuộc gọi và ngầm tải về thêm các ứng dụng khác.

Theo ước tính của Lukas Stefanko, người dùng Android phải đối mặt với nguy cơ tấn công do trojan ngân hàng cao nhất với 98% trojan được thiết kế nhắm tới nền tảng này. Và Lukas Stefanko đã liệt kê một số biện pháp nhằm giảm thiểu nguy cơ bị trojan ngân hàng tấn công, trong đó có việc kiểm tra tất cả thông tin của ứng dụng trên Google Play và chú ý tới các quyền mà ứng dụng yêu cầu.