Pixnapping: Cuộc tấn công đánh cắp mã xác minh trên Android

Có một thuật ngữ mới đang gây sốt trong an ninh mạng di động: Pixnapping. Kiểu tấn công này, với tên gọi kết hợp giữa pixel và starting (bắt cóc), đã được chứng minh là có khả năng ghi lại những gì hiển thị trên màn hình Android và, cùng với nhiều tính năng khác, đánh cắp mã xác minh xác thực hai yếu tố mà không gây nghi ngờ.

Điều đáng lo ngại nhất là, theo các nhà nghiên cứu đã trình bày, cuộc tấn công được thực hiện chỉ trong vài giây và không yêu cầu bất kỳ quyền đặc biệt nào. Tức là, một ứng dụng tưởng chừng vô hại, do chính người dùng cài đặt, lại có thể... đọc thông tin hiển thị trên màn hình của các ứng dụng khác và trích xuất dữ liệu nhạy cảm như tin nhắn riêng tư, bản đồ hoặc mã 2FA tạm thời.

Pixnapping là gì và tại sao nó lại đặc biệt đáng lo ngại?

Pixnapping là một kỹ thuật tận dụng sự kết hợp giữa các API Android hợp lệ với kênh phụ phần cứng. Sự kết hợp này cho phép kẻ tấn công quan sát, tái tạo và lọc những gì hiển thị trên màn hình thiết bị, cho phép chúng... thu thập dữ liệu theo thời gian thực từ hầu hết mọi ứng dụng miễn là thông tin có thể nhìn thấy được.

Một trong những đặc điểm nổi bật của cuộc tấn công này là ứng dụng độc hại không yêu cầu quyền truy cập, không yêu cầu khả năng truy cập, đọc thông báo hay ảnh chụp màn hình. Tuy nhiên, nó vẫn có thể khai thác các cơ chế hệ thống và tín hiệu vật lý để đạt được mục tiêu: đọc những gì bạn thấy bạn mà bạn không hề nhận ra.

Các nhà nghiên cứu đã chỉ ra rằng, trong vòng chưa đầy 30 giây, Pixnapping có thể đánh cắp mã tạm thời, tương tự như mã từ Google Authenticator, và nó thực hiện việc này một cách lén lút. Trong khoảng thời gian đó, người dùng có thể, chẳng hạn, mở email hoặc xem bản đồ, và ứng dụng độc hại trích xuất mã 2FA mà không hiển thị màn hình lạ hoặc thông báo lạ.

FireScam, phần mềm độc hại đóng giả Telegram Premium

Cách nó đánh cắp mã 2FA và dữ liệu khác xuất hiện trên màn hình

Khi bạn mở ứng dụng xác thực hoặc nhận được mã một lần và mã này hiển thị trên thiết bị, Pixnapping có thể phát hiện và tái tạo mã đủ tốt để đánh cắp. Hiệu quả của nó đến từ việc quan sát các mẫu kết xuất và tín hiệu liên quan đến quá trình vẽ, do đó nội dung hiển thị là bề mặt tấn công chính.

Điều này giải thích tại sao nó hoạt động với mã TOTP được tạo bởi các ứng dụng xác thực, cũng như với các OTP xuất hiện trong tin nhắn, thông báo hoặc cửa sổ bật lên. Nói một cách đơn giản: nếu bạn nhìn thấy nó trên màn hình, kẻ tấn công có thể tạo một bản sao thông qua cách tiếp cận này.

Bản vá và biện pháp giảm thiểu: Những gì Google đã làm và những gì sắp tới

Để cố gắng ngăn chặn vectơ này, Google đã phát hành bản vá được xác định là CVE-2025-48561. Tuy nhiên, chính các nhà nghiên cứu đã lưu ý rằng, ngay cả khi đã cài đặt bản cập nhật đó, Pixnapping vẫn đang hoạt động trong các thử nghiệm của họ. Đây không phải là lần đầu tiên điều tương tự xảy ra với các cuộc tấn công mới: biện pháp giảm thiểu ban đầu làm giảm một số rủi ro, nhưng không hoàn toàn ngăn chặn được.

Google đã thông báo rằng họ sẽ phát hành một biện pháp đối phó bổ sung trong bản tin bảo mật Android tháng 12. Cho đến khi bản vá bổ sung này được phát hành, bạn nên thực hiện các biện pháp phòng ngừa tối đa: tránh cài đặt ứng dụng bên ngoài cửa hàng chính thức, kiểm tra với các nhà phát triển không rõ danh tính và nếu nghi ngờ, hãy gỡ cài đặt phần mềm đáng ngờ. Kích hoạt Google Play Protect, ưu tiên ứng dụng chống trộm và giữ cho hệ thống được cập nhật và hạn chế tối đa việc hiển thị mã 2FA trên màn hình trong thời gian dài.

Ngoài lớp cập nhật, nên đặt cược vào phương pháp xác thực không dựa vào mã hiển thị. Ví dụ: khóa bảo mật FIDO vật lý hoặc đẩy phê duyệt thay vì mã TOTP hiển thị dưới dạng chữ số, bất cứ khi nào dịch vụ cho phép. Việc giảm thời gian hiển thị mã và giảm thiểu thông báo có nội dung nhạy cảm cũng giúp giảm thiểu nguy cơ bị lộ thông tin.

Vượt ra ngoài Pixnapping: Các kỹ thuật đánh cắp mã và cướp ảnh đang gia tăng

Việc đánh cắp mã và phiên không chỉ giới hạn ở Android hay cuộc tấn công này. Song song đó, các kỹ thuật như QRLjacking, chiếm quyền điều khiển phiên web, và gian lận WhatsApp và QR đang gia tăng. Tất cả chúng đều có chung một ý tưởng: khai thác lòng tin của người dùng để lẻn vào danh tính của bạn tài khoản kỹ thuật số và truy cập hoặc tiền.

QRLJacking và gian lận mã QR

QRLjacking liên quan đến việc lừa người dùng quét mã QR trông có vẻ hợp lệ, nhưng lại chuyển hướng đến một trang web do kẻ tấn công kiểm soát. Trong một số dịch vụ, mã QR này được sử dụng để đăng nhập hoặc liên kết phiên làm việc, do đó nạn nhân vô tình... cung cấp phiên của bạn cho tội phạm. Cách tiếp cận này dựa trên sự tin tưởng của chúng ta vào mã QR do sử dụng hàng ngày: thực đơn nhà hàng, thanh toán, mạng Wi-Fi hoặc làm thủ tục nhận phòng.

Có một số biến thể của gian lận QR. Một biến thể được gọi là QR Code Jacking: kẻ tấn công dán mã QR giả lên mã QR thật, ví dụ như trên đồng hồ đỗ xe, trạm sạc hoặc biển báo. Người dùng nghĩ rằng họ đang trả tiền đỗ xe, nhưng cuối cùng lại truy cập vào một trang web giả mạo. ăn cắp thẻLoại lừa đảo này đã xảy ra trên các trang web thực tế, khi tài xế bị chuyển hướng đến các trang web lừa đảo, nơi dữ liệu của họ rơi vào tay kẻ lừa đảo.

Một phương pháp khác là lừa đảo: email chứa mã QR giả mạo trông giống như từ ngân hàng hoặc cơ quan chính phủ. Chúng mời bạn xác minh thông tin, tận dụng ưu đãi hoặc giải quyết vấn đề, và mã QR sẽ dẫn bạn đến một trang web giả mạo, nơi bạn được yêu cầu... Họ yêu cầu giấy tờ chứng nhận hoặc thông tin cá nhân. Các ứng dụng quét mã QR cũng đã bị phát hiện có chứa phần mềm độc hại trong các cửa hàng chính thức, như trường hợp của Barcode Scanner trước đây.

Để giảm thiểu rủi ro khi sử dụng mã QR: hãy xác minh nguồn gốc trước khi quét, sử dụng các ứng dụng đáng tin cậy và tắt tính năng tự động mở liên kết. Lưu ý nếu mã QR có vẻ bị chồng lên hoặc in trên giấy khác. Nếu nghi ngờ, hãy mở trang web bằng cách nhập mã vào trình duyệt thay vì theo mã QR. Trong môi trường thực tế, doanh nghiệp và sự kiện, kiểm tra định kỳ mã QR được hiển thị cho công chúng.

Tấn công chiếm quyền điều khiển phiên web: cách thức hoạt động và lý do tại sao nó lại có hại như vậy

Khi bạn đăng nhập vào một trang web hoặc ứng dụng, máy chủ sẽ tạo một phiên và cung cấp cho bạn một mã định danh, thường thông qua một cookie tạm thời. Mã định danh này duy trì trạng thái xác thực của bạn cho đến khi bạn đăng xuất hoặc mã định danh hết hạn. Nếu kẻ tấn công lấy được mã định danh này, chúng có thể mạo danh bạn và truy cập mọi thứ như thể bạn là người dùng hợp pháp.

Có nhiều hướng tấn công khác nhau. Tấn công mã lệnh chéo trang (XSS) chèn một tập lệnh khiến trình duyệt tiết lộ cookie hoặc mã thông báo phiên. Tấn công chiếm quyền điều khiển hoặc đánh hơi phiên bên cạnh sẽ theo dõi lưu lượng truy cập trên các mạng Wi-Fi mở hoặc sử dụng phương thức trung gian để thu thập cookie không được mã hóa. Tấn công cố định phiên buộc nạn nhân phải đăng nhập bằng một ID được xác định trước mà kẻ tấn công đã biết, sau đó đăng nhập vào tài khoản của bạnKẻ tấn công trong trình duyệt sẽ lây nhiễm máy tính bằng một loại Trojan có khả năng sửa đổi các giao dịch ngay lập tức. Và có những mã thông báo có thể dự đoán được: nếu máy chủ tạo ra ID theo mẫu, chúng có thể bị suy ra bằng phương pháp tấn công vét cạn.

Vấn đề này không giống với việc chiếm quyền điều khiển phiên. Trong trường hợp chiếm quyền điều khiển phiên, người dùng đã đăng nhập và kẻ tấn công chiếm quyền điều khiển phiên thực, điều này có thể gây ra hành vi lạ hoặc lỗi cho người dùng. Tuy nhiên, trong trường hợp giả mạo, kẻ tấn công tạo một phiên mới mạo danh người dùng mà không để người dùng nhận thấy bất cứ điều gì vào lúc đó.

Hậu quả rất nghiêm trọng: đánh cắp danh tính, giao dịch gian lận, cài đặt phần mềm độc hại, tấn công từ chối dịch vụ (DDoS) hoặc truy cập chuỗi vào hệ thống khi đăng nhập một lần (SSO) đang được áp dụng. Trong đại dịch, cái gọi là "bom Zoom" đã trở nên phổ biến, với những kẻ xâm nhập đột nhập vào các cuộc gọi video riêng tư. Các lỗ hổng bảo mật cũng đã được báo cáo, chẳng hạn như lỗ hổng trên Slack năm 2019, cho phép đánh cắp cookie thông qua chuyển hướng, hoặc lỗ hổng trên GitLab năm 2017, sử dụng mã thông báo. được hiển thị trong URL và kiên trì.

Thực hành tốt nhất: Tránh sử dụng mạng Wi-Fi công cộng để giao dịch ngân hàng, mua sắm hoặc gửi email; nếu không có giải pháp thay thế, sử dụng VPNHãy cảnh giác với các liên kết trong email lạ và kiểm tra xem trang web có HTTPS hay không. Luôn cập nhật phần mềm diệt vi-rút và cấu hình dịch vụ của bạn với Xác thực Đa phương tiện (MFA), chính sách bảo mật, hết hạn phiên và xem xét các thiết bị được kết nối.

Tìm hiểu về phần mềm độc hại sao chép thẻ bằng công nghệ NFC

Trộm cắp danh tính và trộm cắp tài khoản: từ thường ngày đến nghiêm trọng

Văn phòng An ninh Internet (OSI), một kênh của INCIBE, đã ghi nhận sự gia tăng các vụ việc mạo danh và đánh cắp tài khoản. Hiện tượng này được chia thành hai loại chính: truy cập trái phép vào tài khoản thật (thông qua mật khẩu bị đánh cắp, lừa đảo hoặc phần mềm độc hại) và tạo hồ sơ giả bắt chước con người hoặc thực thể để lừa dối bên thứ ba.

Trên WhatsApp, một hình thức lừa đảo dây chuyền nổi bật: tội phạm liên lạc với bạn bằng cách giả danh người quen, yêu cầu bạn gửi lại mã sáu chữ số được cho là do nhầm lẫn. Thực tế, mã này cho phép bạn đăng ký tài khoản trên một thiết bị khác. Sau khi nhập mã, kẻ tấn công kiểm soát từ WhatsApp của bạn và có thể kích hoạt xác minh hai bước khiến bạn khó khôi phục.

Ngoài ra, đã có những trường hợp được ghi nhận khi kẻ tấn công thêm tài khoản vào một thiết bị thứ hai; WhatsApp tạm thời giới hạn yêu cầu mã trong 12 giờ, khoảng thời gian mà tội phạm truy cập vào các cuộc trò chuyện và nhóm của bạn, thu thập danh bạ và tung ra các trò gian lận mới mạo danh bạn.

Để bảo vệ bản thân: Không bao giờ chia sẻ mã xác minh, bật xác minh hai bước của WhatsApp, sử dụng mật khẩu mạnh và không chấp nhận yêu cầu kết bạn hoặc tin nhắn đáng ngờ. Thường xuyên kiểm tra cài đặt quyền riêng tư và bảo mật của bạn. hạn chế những gì bạn đăng và giữ an toàn cho dữ liệu nhạy cảm như ID, địa chỉ hoặc thông tin ngân hàng.

Tráo đổi SIM là một mối đe dọa nghiêm trọng khác: kẻ tấn công sử dụng dữ liệu cá nhân thu thập được thông qua kỹ thuật xã hội để lấy bản sao SIM của bạn từ nhà mạng. Đột nhiên, bạn mất sóng di động, và khi kết nối qua Wi-Fi, bạn nhận được thông báo về hoạt động trái phép. Nếu điều này xảy ra, hãy liên hệ ngay với nhà mạng và thực hiện các biện pháp như Xác thực Đa yếu tố (MFA). tất cả tài khoản của bạn.

Phải làm gì nếu tài khoản của bạn bị đánh cắp hoặc mạo danh

Hành động có phương pháp. Ghi lại những gì đã xảy ra bằng ảnh chụp màn hình và nhật ký. Việc thông báo cho các liên hệ của bạn sẽ làm giảm hiệu ứng domino. Lấy lại quyền truy cập bằng cách thay đổi thông tin đăng nhập và kích hoạt xác thực nhiều lần. Xem xét và sửa số điện thoại và email khôi phục mà kẻ tấn công có thể đã sửa đổi. Báo cáo từng dịch vụ bị ảnh hưởng thông qua các kênh chính thức của họ và, nếu cần, hãy nộp đơn khiếu nại lên Cảnh sát Quốc gia hoặc Cảnh sát Dân sự. Từ INCIBE, đường dây nóng 017 cung cấp sự giúp đỡ trong an ninh mạng cho công dân.

CAPTCHA giả mạo cài đặt phần mềm độc hại: một cách khác để đánh cắp dữ liệu và thông tin đăng nhập

Trong những tháng gần đây, các chiến dịch lợi dụng xác minh CAPTCHA giả mạo đã bị phát hiện. Thông qua quảng cáo lừa đảo hoặc chuyển hướng vô hình, người dùng sẽ bị dẫn đến các trang web giả mạo mô phỏng lỗi trình duyệt hoặc kiểm soát bảo mật. Tại đó, họ được yêu cầu sao chép một lệnh—ví dụ: trong PowerShell—và thực thi lệnh đó, kích hoạt việc tải xuống một tệp. phần mềm độc hại thầm lặng có khả năng đánh cắp thông tin đăng nhập, cookie và đặc biệt là khóa tiền điện tử.

Những chiến dịch này đã tiếp cận hàng chục nghìn người dùng, với hơn 140.000 lượt tương tác chỉ trong vài tháng và nạn nhân ở các quốc gia như Tây Ban Nha, Brazil, Ý và Nga. Tội phạm phát tán nhiều họ Trojan và mở rộng phạm vi hoạt động sang các trang web cờ bạc, cộng đồng anime, chia sẻ tệp và trang web người lớn, lợi dụng giao diện hợp pháp của các trang web này. CAPTCHA làm mồi nhử.

Để giảm thiểu rủi ro: Nếu quảng cáo chiếm hết màn hình hoặc chuyển hướng bạn đến một trang web lạ, hãy đóng trang web đó; không bao giờ sao chép hoặc chạy các lệnh chuyển hướng bạn đến các trang mà bạn không tin cậy; sử dụng phần mềm diệt vi-rút hiệu quả và sử dụng trình quản lý mật khẩu. bảo vệ thông tin đăng nhập của bạnCập nhật thông tin cũng là một phần của phòng thủ.

Tấn công DNS: Khi địa chỉ đưa bạn đến trang web của kẻ tấn công

Việc chiếm quyền điều khiển máy chủ tên miền (DNS) sẽ thao túng cách Internet phân giải tên miền. Nếu kẻ tấn công thay đổi bản ghi liên kết tên miền với địa chỉ IP của nó, khi người dùng nhập địa chỉ trang web yêu thích, họ sẽ được chuyển đến một máy chủ do kẻ tấn công kiểm soát. Người truy cập không hề hay biết có thể nhập thông tin đăng nhập hoặc tải xuống phần mềm độc hại mà không hề nhận ra.

Để đạt được điều này, kẻ tấn công có thể lây nhiễm máy tính, chiếm quyền điều khiển bộ định tuyến hoặc chặn kết nối DNS. Mục tiêu thường là giả mạo (pharming) để đánh cắp dữ liệu, mặc dù cũng có trường hợp một số chính phủ sử dụng để chuyển hướng đến các trang web được phê duyệt. Kết quả vẫn như cũ: BusinessSite.com có thể trỏ đến sai địa chỉ IP nếu sổ đăng ký bị xâm phạm, và người dùng bị phơi bày.

Làm thế nào để giảm thiểu rủi ro tổng thể về việc chiếm đoạt mã, phiên và tài khoản

Hay mẫu phổ biến giúp tăng cường bảo mật chống lại Pixnapping, QRLJacking, chiếm quyền phiên hoặc gian lận tin nhắn:

Giữ cho hệ thống và ứng dụng của bạn được cập nhật và ưu tiên Bản vá bảo mật Android, đặc biệt là những người công bố các biện pháp giảm thiểu cho kênh phụ và rò rỉ màn hình.
Chỉ cài đặt ứng dụng từ các cửa hàng chính thức và coi trọng danh tiếng của nhà phát triển; đặc biệt, hãy kiểm tra ứng dụng chống trộm. Nếu có điều gì đó có vẻ lạ với bạn, hãy gỡ cài đặt mà không cần do dự và chạy quét virus.
Ngăn chặn các mã hoặc dữ liệu nhạy cảm hiển thị trên màn hình; bằng khóa FIDO hoặc chấp thuận đẩy thay vì TOTP hiển thị. Ẩn thông báo có nội dung nhạy cảm trên màn hình khóa.
Hãy cẩn thận với các mã QR được dán ở nơi công cộng hoặc gửi qua thư. Hãy kiểm tra hình thức bên ngoài của chúng và kiểm tra URL trước khi nhập dữ liệu. Cài đặt trình đọc QR ở chế độ không mở tự động các liên kết.
Không chia sẻ mã nhận được qua tin nhắn văn bản hoặc ứng dụng, và bật xác minh hai bước trên tất cả các dịch vụ. Nếu bạn bị mất sóng mà không rõ lý do, hãy gọi cho nhà mạng càng sớm càng tốt. Trao đổi SIM.
Đối với các phiên web: Tránh các mạng công cộng, sử dụng VPN nếu không có giải pháp thay thế, kiểm tra HTTPS, bật MFA và đăng xuất sau các tác vụ nhạy cảm; theo dõi các phiên đang hoạt động và thu hồi thiết bị mà bạn không nhận ra.
Nếu bạn phát hiện các trang web lừa đảo hoặc độc hại, hãy báo cáo chúng cho Inteco, Cảnh sát Quốc gia hoặc Cảnh sát Dân sự. Càng có nhiều cảnh báo, chúng càng có thể được gỡ bỏ sớm hơn hoặc chiến dịch chặn.

Những câu hỏi thường gặp về Pixnapping và các mối đe dọa liên quan

Pixnapping ảnh hưởng đến những điện thoại nào? Các nhà nghiên cứu đã chứng minh điều này trên các mẫu điện thoại Google gần đây (Pixel 6, 7, 8, 9) và Samsung Galaxy S25, và họ lưu ý rằng kênh bên ảnh hưởng đến hầu hết các điện thoại này. Người máy Android hiện đạiDo đó, diện tích bề mặt tiềm năng là lớn, tùy thuộc vào các biện pháp giảm thiểu sâu hơn.

Các bản cập nhật hiện tại có giúp ích gì không? Google đã phát hành CVE-2025-48561 để giảm thiểu sự cố, nhưng kết quả kiểm tra công khai cho thấy cuộc tấn công vẫn có thể xảy ra. Bản vá bổ sung dự kiến sẽ được phát hành trong bản tin tháng 12. Hãy cập nhật thiết bị của bạn thường xuyên. làm giảm rủi ro, mặc dù khả năng phòng thủ toàn diện có thể đòi hỏi những thay đổi hệ thống sâu rộng hơn.

Liệu nó có thể đánh cắp những bí mật không được hiển thị không? Không. Nếu thông tin không được hiển thị trên màn hình, Pixnapping không thể ghi lại được. Đó là lý do tại sao việc thu nhỏ màn hình hiển thị là rất quan trọng. Mã TOTP hoặc cho họ xem trong thời gian ngắn nhất có thể.

Những ứng dụng nào đang bị chú ý? Bất kỳ ứng dụng nào hiển thị thông tin nhạy cảm trên màn hình đều là ứng cử viên. Các thử nghiệm bao gồm Gmail, Tài khoản Google, Signal, Google Authenticator, Venmo và Google Maps, cho thấy vấn đề này ảnh hưởng đến cả hai bên. nhắn tin chẳng hạn như xác thực và bản đồ.

Pixnapping liên quan thế nào đến QRLjacking hay chiếm quyền phiên? Tất cả đều là một phần của cùng một hệ sinh thái các mối đe dọa nhằm chiếm đoạt danh tính kỹ thuật số. Pixnapping nhắm vào những gì trên màn hình của bạn; QRLjacking khai thác sự tin cậy vào mã QR; khai thác chiếm quyền phiên điểm yếu của web; và WhatsApp/SMSShing đang tìm kiếm mã của bạn. Cả hai đều nhấn mạnh sự cần thiết của việc xác thực đa yếu tố (MFA) mạnh mẽ và các thói quen thận trọng.