Mã độc Anatsa thường giả dạng các ứng dụng tiện ích như PDF Reader, Document Reader... và xuất hiện ngay trên các kho ứng dụng chính thống nhằm dụ người dùng cài đặt. Sau khi người dùng cài đặt, ứng dụng sẽ tự tải về “bản cập nhật” chứa mã độc để thực hiện hành vi tấn công.
Cơ chế tấn công của mã độc Anatsa là ngụy trang dưới các ứng dụng hợp pháp và đưa lên Google Play để lừa người dùng cài đặt.
Sau khi được cài đặt, ứng dụng sẽ yêu cầu các quyền nhạy cảm như Trợ năng (Accessibility) hoặc SMS để theo dõi và chiếm quyền điều khiển thiết bị.
Khi người dùng truy cập ứng dụng ngân hàng, mã độc sẽ chèn một màn hình giả mạo có giao diện tương tự nhằm đánh cắp mật khẩu, mã OTP.
Một số dấu hiệu cho thấy thiết bị có thể đã bị nhiễm mã độc Anatsa gồm: Ứng dụng yêu cầu quyền đặc biệt như Trợ năng (Accessibility) hoặc quyền truy cập SMS; tự động mở ứng dụng ngân hàng và yêu cầu đăng nhập lại; hoặc xuất hiện các cửa sổ (overlay/pop-up) lạ khi truy cập ứng dụng ngân hàng.
Bên cạnh đó, thiết bị có thể hoạt động chậm, pin hao nhanh, dữ liệu di động tăng đột biến; người dùng nhận được mã OTP bất thường hoặc không nhận được mã xác thực.
Nếu phát hiện dấu hiệu bất thường, hãy xử lý ngay bằng cách: Gỡ ứng dụng; tắt quyền nhạy cảm; thay đổi mật khẩu và báo cáo ngay cho ngân hàng nếu phát hiện giao dịch bất thường hoặc nghi ngờ tài khoản bị xâm nhập...
Minh Đức
