Mã độc Android mở rộng tấn công các ứng dụng phi tài chính

Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện một loại banking malware không chỉ nhắm mục tiêu tới các ứng dụng ngân hàng mà còn đánh cắp dữ liệu và thông tin đăng nhập từ các ứng dụng mạng xã hội, ứng dụng hẹn hò và tiền điện tử. Được biết có đến tổng cộng 337 ứng dụng Android phi tài chính trong danh sách mục tiêu của mã độc nguy hiểm này.



Được các nhà nghiên cứu của ThreatFabric phát hiện vào tháng 5 và đặt tên là “ BlackRock ,” mã nguồn của trojan này có nguồn gốc từ một phiên bản rò rỉ của mã độc ngân hàng Xerxes. Được biết bản thân Xerxes là một chủng LokiBot Android banking trojan được phát hiện lần đầu trong khoảng thời gian từ năm 2016 đến 2017.



Các tính năng chính của mã độc này là đánh cắp thông tin đăng nhập người dùng, chặn tin nhắn SMS, chiếm quyền điều khiển các thông báo, và thậm chí là ghi lại các tổ hợp phím (keystroke) từ các ứng dụng bị nhắm mục tiêu. Bên cạnh đó, nó còn có khả năng ẩn mình khỏi các phần mềm diệt virus.



“BlackRock không chỉ thay đổi mã code, mà nó còn liên tục gia tăng danh sách mục tiêu tấn công và duy trì được thời gian tấn công dài hơn,” ThreatFabric nói.



“Khác với các trojan hiện có khác, danh sách mục tiêu của mã độc này chứa một lượng lớn các ứng dụng xã hội, ứng dụng dùng cho mục đích networking, liên lạc và hẹn hò.”



BlackRock thực hiện thu thập dữ liệu bằng cách lạm dụng các đặc quyền của Dịch vụ trợ năng Android (Android’s Accessibility Service). Trong lần xâm nhập đầu tiên vào thiết bị của nạn nhân, mã độc này sẽ núp bóng dưới vỏ bọc của Google Update nhằm lấy được sự cho phép người dùng để truy cập vào thiết bị (ảnh trên).



Sau đó, nó tiếp tục cấp cho mình các quyền bổ sung và thiết lập một kết nối với máy chủ C2 từ xa (command-and-control) để thực thi các hoạt động độc hại bằng cách chèn các overlay (lớp phủ) lên trên màn hình đăng nhập và màn hình thanh toán của các ứng dụng bị nhắm mục tiêu.



Các overlay dùng để đánh cắp thông tin đăng nhập này đã được tìm thấy trên các ứng dụng ngân hàng ở Châu Âu, Úc, Mỹ và Canada, cùng với các ứng dụng mua sắm, truyền thông và kinh doanh khác.



“Danh sách mục tiêu của các ứng dụng phi tài chính gồm sự có mặt của nhiều ứng dụng nổi tiếng như Tinder, TikTok, PlayStation, Facebook, Instagram, Skype, Snapchat, Twitter, Grinder, VK, Netflix, Uber, eBay, Amazon, Reddit và Tumblr,” các nhà nghiên cứu chia sẻ với The Hacker News.



Đây không phải là lần đầu tiên các mã độc di động lạm dụng các tính năng trợ năng của Android.



Đầu năm nay, các nhà nghiên cứu IBM X-Force đã phát hiện một chiến dịch TrickBot mới, được gọi là TrickMo . Được biết mã độc này chỉ nhắm mục tiêu duy nhất tới người dùng ở Đức và tấn công bằng cách sử dụng một mã độc lạm dụng các tính năng trợ năng để chặn các mật khẩu một lần (OTP), số xác thực giao dịch di động ( mTAN ) và mã xác thực pushTAN .



Sau đó, vào tháng Tư, Cybereason lại phát hiện thêm một loại mã độc ngân hàng khác, được biết đến với tên gọi EventBot . Mã độc này tiếp tục sử dụng tính năng tương tự để đánh cắp dữ liệu nhạy cảm từ các ứng dụng tài chính, đọc tin nhắn SMS của người dùng, và chiếm đoạt mã xác thực hai yếu tố (2FA) qua SMS.



Tuy nhiên, điều làm cho chiến dịch BlackRock trở nên khác biệt là danh sách đa dạng các ứng dụng bị nhắm mục tiêu, nó không chỉ giới hạn trong các ứng dụng ngân hàng di động thông thường.



“Với sự phát triển của Alien, Eventbot và BlackRock, chúng ta hoàn toàn có thể đoán trước được rằng những kẻ tấn công với động cơ tài chính sẽ tiếp tục xây dựng các banking trojan mới, bên cạnh việc cải tiến những mã độc nguy hiểm hiện có,” các nhà nghiên cứu của ThreatFabric kết luận.



“Những thay đổi và cải tiến liên tục của banking ​​trojan đã khiến ranh giới giữa mã độc ngân hàng và phần mềm gián điệp trở nên mong manh hơn bao giờ hết. Nó sẽ khiến mã độc ngân hàng trở thành mối đe dọa lớn đối với nhiều tổ chức trong tương lai gần.”



Theo The Hacker News
The post Mã độc Android mở rộng tấn công các ứng dụng phi tài chính appeared first on SecurityDaily .