Công ty McAfee - tổ chức phần mềm an ninh toàn cầu của Mỹ mới đây đã công bố phát hiện về một ứng dụng có tên là BMI CalculationVsn giả danh công cụ tính chỉ số cơ thể (BMI) nhằm đánh lừa người dùng cấp quyền truy cập để thu thập dữ liệu cá nhân.

Theo McAfee, BMI CalculationVsn đánh vào tâm lý người dùng muốn nhận kết quả nhanh chóng mà không cần thực hiện nhiều thao tác. Khi người dùng chấp nhận các quyền truy cập, ứng dụng bắt đầu ghi lại màn hình và lưu toàn bộ thao tác, từ đó có nguy cơ làm lộ thông tin cá nhân, mật khẩu, mã xác thực hai yếu tố (2FA) và các tin nhắn quan trọng.

Đáng lo ngại hơn, ứng dụng này còn có khả năng đọc tin nhắn SMS, tạo điều kiện cho tin tặc đánh cắp mã 2FA, đặc biệt là những mã liên quan đến dịch vụ tài chính hoặc tài khoản mạng xã hội.

Trước nguy cơ này, Kiên Long Bank đã khuyến nghị khách hàng kiểm tra và gỡ ngay ứng dụng BMI CalculationVsn nếu đã cài đặt trên điện thoại. Đồng thời, người dùng cần cẩn trọng khi tải ứng dụng và chỉ nên cài đặt từ các nguồn chính thống như Google Play Store hoặc App Store.

Gia tăng tấn công trên thiết bị di động

Theo thống kê, các nhóm tội phạm công nghệ đang gia tăng tấn công vào thiết bị di động. Trước đó, Threat Fabric cảnh báo hai ứng dụng "PDF Reader & File Manager" và "QR Reader & File Manager" chứa mã độc nguy hiểm, có thể đánh cắp thông tin ngân hàng. CloudSEK cũng phát hiện 31 ứng dụng độc hại, trong đó ba ứng dụng chứa mã độc Daam: Psiphon (VPN), Boulders (game di động) và Currency Pro (chuyển đổi tiền tệ).

Ngoài ra, 28 ứng dụng giả mạo khác cũng bị cảnh báo, bao gồm: Lite VPN, Anims Keyboard, Blaze Stride, Byte Blade VPN, Android 12/13/14 Launcher, CaptainDroid Feeds, Free Old Classic Movies, Phone Comparison, Fast Fly VPN, Funny Char Ging Animation, Oko VPN, Turbo Track VPN, VPN Ultra, Run VPN...

Biện pháp đề phòng

Để phòng tránh các nguy cơ mất thông tin và tài sản, người dùng cần:

- Không tải xuống các ứng dụng không rõ nguồn gốc.

- Kích hoạt Google Play Protect trên Google Play.

- Sử dụng phần mềm diệt virus uy tín.

- Không nhấp vào các liên kết lạ trong email hoặc tin nhắn.

- Vô hiệu hóa quyền truy cập mạng và đóng băng tài khoản ngân hàng nếu nghi ngờ bị nhiễm mã độc.

- Thường xuyên cập nhật hệ điều hành và ứng dụng.

- Kích hoạt xác thực hai yếu tố (2FA) cho tài khoản trực tuyến.

Trước khi cài đặt bất kỳ ứng dụng nào, người dùng cần xem xét kỹ các quyền truy cập để tránh bị lợi dụng thu thập dữ liệu cá nhân.