Bạn có bao giờ nghĩ rằng một ứng dụng thanh toán quen thuộc có thể biến thành công cụ đánh cắp tiền trong tài khoản ngân hàng? Các chuyên gia bảo mật mạng vừa phát hiện chiến dịch tấn công NGate mới nhất nhắm vào người dùng Brazil, trong đó tội phạm đã biến ứng dụng hợp pháp HandyPay thành malware (phần mềm độc hại) tinh vi. Điều đáng báo động là mã độc này được nghi sử dụng trí tuệ nhân tạo để tạo ra, đánh dấu bước tiến nguy hiểm trong xu hướng tội phạm mạng hiện đại. Theo nhà nghiên cứu bảo mật Lukáš Štefanko từ ESET, đây là phiên bản mới nhất của họ malware Android NGate với khả năng đánh cắp dữ liệu NFC và mã PIN một cách tinh vi chưa từng thấy.

Khi ứng dụng hợp pháp hóa 'sát thủ thầm lặng'

HandyPay vốn là ứng dụng được thiết kế để chuyển tiếp dữ liệu NFC (Near Field Communication - công nghệ giao tiếp tầm gần) một cách hợp pháp, phục vụ các giao dịch thanh toán không tiếp xúc. Tuy nhiên, các tội phạm mạng đã khéo léo 'trojanize' - tức là cấy ghép mã độc vào ứng dụng gốc, biến nó thành công cụ đánh cắp thông tin tài chính. Chúng tôi nhận thấy đây là bước tiến đáng lo ngại trong chiến thuật của tội phạm mạng, khi họ không còn tạo ra ứng dụng giả hoàn toàn mới mà lợi dụng các ứng dụng có sẵn để tăng tính thuyết phục.

Điểm đặc biệt nguy hiểm của chiến dịch NGate lần này là việc sử dụng AI để sinh ra mã độc. Việc này không chỉ giúp tăng tốc độ phát triển malware mà còn khiến các công cụ phát hiện truyền thống gặp khó khăn trong việc nhận diện. Khi AI có thể tạo ra các biến thể mã độc với tốc độ chóng mặt, cuộc chiến giữa tội phạm mạng và các chuyên gia bảo mật đang trở nên căng thẳng hơn bao giờ hết. Các chuyên gia dự đoán xu hướng này sẽ lan rộng ra toàn cầu trong thời gian tới.

Công nghệ NFC - 'cửa ngõ vàng' cho tội phạm mạng

NFC (Near Field Communication) là công nghệ cho phép các thiết bị giao tiếp với nhau trong khoảng cách rất gần, thường được sử dụng trong thanh toán không tiếp xúc qua thẻ hoặc smartphone. Malware NGate khai thác chính điểm mạnh này để biến nó thành điểm yếu. Khi người dùng thực hiện giao dịch, malware sẽ chặn và thu thập toàn bộ dữ liệu NFC, bao gồm thông tin thẻ tín dụng và quan trọng hơn là mã PIN - chìa khóa cuối cùng để truy cập tài khoản ngân hàng.

Quy trình tấn công diễn ra một cách tinh vi và khó phát hiện. NGate không chỉ đơn thuần đánh cắp dữ liệu mà còn có khả năng relay - chuyển tiếp thông tin này đến máy chủ điều khiển của tội phạm trong thời gian thực. Chúng tôi đánh giá đây là một trong những phương thức tấn công tinh vi nhất từng ghi nhận đối với hệ sinh thái thanh toán di động. Việc kết hợp thu thập dữ liệu NFC và PIN tạo ra 'combo' hoàn hảo cho tội phạm thực hiện các giao dịch trái phép mà không cần sự hiện diện của nạn nhân.

Tác động lan rộng và mối lo từ Brazil

Brazil không phải là mục tiêu ngẫu nhiên của chiến dịch NGate. Là một trong những thị trường thanh toán di động lớn nhất châu Mỹ Latin với hơn 150 triệu người dùng smartphone, Brazil đại diện cho 'mỏ vàng' dữ liệu tài chính mà tội phạm mạng khao khát. Theo thống kê từ Ngân hàng Trung ương Brazil, giao dịch thanh toán điện tử tại quốc gia này đạt hơn 100 tỷ USD trong năm 2023, tạo ra động lực mạnh mẽ cho các cuộc tấn công có chủ đích.

Mặc dù chiến dịch hiện tập trung vào Brazil, chúng tôi lo ngại NGate sẽ nhanh chóng lan sang các thị trường khác, đặc biệt là Đông Nam Á nơi thanh toán di động đang bùng nổ. Việt Nam với hơn 90% dân số sở hữu smartphone và sự phát triển mạnh mẽ của các ví điện tử như MoMo, ZaloPay, ViettelPay có thể trở thành mục tiêu tiếp theo. Theo báo cáo từ Cục An toàn thông tin (Bộ TT&TT), Việt Nam ghi nhận hơn 12.000 cuộc tấn công mạng trong 6 tháng đầu năm 2024, cho thấy mức độ đe dọa đang gia tăng đáng kể.

Lá chắn bảo vệ cho người dùng Việt Nam

Trước nguy cơ NGate có thể lan sang Việt Nam, người dùng cần thực hiện ngay các biện pháp phòng vệ cụ thể. Đầu tiên, chỉ tải ứng dụng thanh toán từ Google Play Store hoặc App Store chính thức, tuyệt đối tránh cài đặt từ các nguồn bên thứ ba hay file APK lạ. Thứ hai, thường xuyên kiểm tra quyền hạn của các ứng dụng thanh toán, đặc biệt là quyền truy cập NFC - nếu phát hiện ứng dụng không liên quan đến thanh toán yêu cầu quyền này, hãy gỡ bỏ ngay lập tức.

Chúng tôi khuyến nghị người dùng nên bật tính năng xác thực hai lớp (2FA) cho tất cả ứng dụng ngân hàng và ví điện tử, đồng thời thiết lập giới hạn giao dịch hàng ngày để giảm thiểu thiệt hại khi bị tấn công. Định kỳ kiểm tra sao kê tài khoản và lập tức báo cáo cho ngân hàng nếu phát hiện giao dịch bất thường. Đặc biệt quan trọng, người dùng nên cập nhật hệ điều hành và ứng dụng thường xuyên, sử dụng phần mềm antivirus uy tín có khả năng phát hiện malware Android để tạo lớp bảo vệ cuối cùng cho thiết bị di động.