Xuất hiện mã độc Herodotus: 'Bắt chước' nhịp gõ phím của con người để đánh cắp dữ liệu ngân hàng

Khả năng "bắt chước con người" tinh vi

Theo The Hacker News, nhóm nghiên cứu ThreatFabric đã phát hiện mã độc Herodotus trong quá trình theo dõi các kênh phân phối phần mềm độc hại ngầm. Không giống các trojan thông thường chỉ chèn cửa sổ giả mạo, Herodotus có khả năng mô phỏng chi tiết các thao tác thật của con người như gõ phím chậm rãi, ngắt quãng, vuốt và chạm trên màn hình.

Chính khả năng này khiến các hệ thống bảo mật sinh trắc học và công cụ phát hiện hành vi gian lận gần như bị vô hiệu hóa. Các công nghệ từng dựa vào nhịp gõ phím hoặc tốc độ thao tác để phân biệt người dùng thật với phần mềm tự động giờ đây khó lòng nhận ra sự khác biệt. Mã độc này chiếm quyền kiểm soát thiết bị và đánh cắp thông tin nhạy cảm như tài khoản đăng nhập, mật khẩu, mã PIN và dữ liệu ngân hàng mà người dùng không hay biết.

Một điểm khiến Herodotus đặc biệt nguy hiểm là cách nó mô phỏng thao tác gõ bàn phím. Thay vì nhập dữ liệu hàng loạt, Herodotus chia từng ký tự và gõ với độ trễ ngẫu nhiên từ 300 đến 3.000 mili giây, tái hiện đúng nhịp độ của con người. Ông Aditya Sood, Phó chủ tịch kỹ thuật bảo mật tại Aryaka, nhận định: “Thêm độ trễ khi nhập dữ liệu vốn không mới, nhưng Herodotus đã nâng cấp kỹ thuật này lên mức tự nhiên và khó phát hiện hơn rất nhiều. Điều đó khiến các hệ thống giám sát hành vi gần như bó tay.”

Phân phối dưới dạng dịch vụ, Google vào cuộc

ThreatFabric cho biết Herodotus đang được rao bán trên các diễn đàn tội phạm mạng theo mô hình “malware-as-a-service”. Cách phân phối này cho phép bất kỳ kẻ tấn công nào cũng có thể thuê hoặc mua công cụ để tiến hành các chiến dịch xâm nhập với chi phí thấp và khả năng lan rộng nhanh chóng.

Hiện mã độc này đã được ghi nhận trong các cuộc tấn công tại Brazil và Ý. Herodotus triển khai giao diện giả mạo trông giống hệt ứng dụng ngân hàng hợp pháp, ghi lại mọi thông tin đăng nhập, mã PIN và mã xác thực mà người dùng nhập vào, sau đó gửi về máy chủ cho tin tặc.

Trước mối đe dọa này, Google cho biết đã bổ sung thêm lớp bảo vệ trên Play Protect để phát hiện và ngăn người dùng cài đặt các ứng dụng có chứa Herodotus. Công ty cũng khuyến cáo người dùng Android chỉ tải ứng dụng từ Google Play, tránh cài đặt file APK từ nguồn không rõ ràng, đồng thời cập nhật hệ điều hành và bản vá bảo mật mới nhất để giảm nguy cơ bị tấn công.