Theo The Hacker News, một loại mã độc mới mang tên Herodotus vừa được các chuyên gia an ninh mạng cảnh báo vì mức độ tinh vi chưa từng có.
Nhóm nghiên cứu ThreatFabric cho biết, Herodotus được phát hiện trong quá trình theo dõi các kênh phân phối phần mềm độc hại ngầm. Không giống những trojan thông thường chỉ chiếm quyền điều khiển thiết bị hoặc chèn cửa sổ giả mạo, Herodotus có khả năng mô phỏng chi tiết các thao tác thật như gõ phím chậm rãi, ngắt quãng, vuốt và chạm trên màn hình giống hệt người thật.
Nhờ đó, nó có thể qua mặt các hệ thống bảo mật hiện đại, dễ dàng chiếm quyền kiểm soát thiết bị và đánh cắp thông tin nhạy cảm như tài khoản đăng nhập, mật khẩu, mã PIN, mã xác thực và dữ liệu ngân hàng mà người dùng không hề hay biết.
Chính khả năng “bắt chước con người” này khiến các hệ thống bảo mật sinh trắc học và công cụ phát hiện hành vi gian lận gần như bị vô hiệu hóa. Các công nghệ từng dựa vào nhịp gõ phím hoặc tốc độ thao tác để phân biệt người dùng thật với phần mềm tự động giờ đây khó lòng nhận ra sự khác biệt.
ThreatFabric cho biết thêm, Herodotus đang được rao bán trên các diễn đàn tội phạm mạng theo mô hình “malware-as-a-service” – phần mềm độc hại dưới dạng dịch vụ. Cách phân phối này cho phép bất kỳ kẻ tấn công nào cũng có thể thuê hoặc mua công cụ để tiến hành các chiến dịch xâm nhập với chi phí thấp và khả năng lan rộng nhanh chóng.
Hiện mã độc này đã được ghi nhận trong các cuộc tấn công tại Brazil và Ý. Theo ThreatFabric, Herodotus triển khai giao diện giả mạo trông giống hệt ứng dụng ngân hàng hợp pháp, ghi lại mọi thông tin đăng nhập và mã xác thực, mã PIN mà người dùng nhập vào, sau đó gửi về máy chủ cho tin tặc.
Một điểm khiến Herodotus đặc biệt nguy hiểm là cách nó mô phỏng thao tác gõ bàn phím. Thay vì nhập dữ liệu hàng loạt như các mã độc khác, Herodotus chia từng ký tự và gõ với độ trễ ngẫu nhiên từ 300 đến 3.000 mili giây, tái hiện đúng nhịp độ của con người.
Ông Aditya Sood, Phó chủ tịch kỹ thuật bảo mật tại Aryaka, nhận định: “Thêm độ trễ khi nhập dữ liệu vốn không mới, nhưng Herodotus đã nâng cấp kỹ thuật này lên mức tự nhiên và khó phát hiện hơn rất nhiều. Điều đó khiến các hệ thống giám sát hành vi gần như bó tay.”
Trước mối đe dọa này, Google cho biết đã bổ sung thêm lớp bảo vệ trên Play Protect để phát hiện và ngăn người dùng cài đặt các ứng dụng có chứa Herodotus. Công ty cũng khuyến cáo người dùng Android chỉ tải ứng dụng từ Google Play, tránh cài đặt file APK từ nguồn không rõ ràng, đồng thời cập nhật hệ điều hành và bản vá bảo mật mới nhất để giảm nguy cơ bị tấn công.
