Banking Trojan thực hiện giao dịch gian lận trên 112 ứng dụng tài chính khác nhau


Chỉ bốn tháng sau khi tiết lộ thông tin về “ Tetrade ” – nhóm banking trojan đến từ Brazil đang nhắm mục tiêu vào các tổ chức tài chính ở Brazil, Mỹ Latinh và châu Âu, các chuyên gia bảo mật tiếp tục công bố những phát hiện mới cho thấy tin tặc đứng sau chiến dịch này đang mở rộng phạm vi tấn công nhằm lây nhiễm một loạt thiết bị di động bằng spyware độc hại.



Theo Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT), tin tặc đứng sau mã độc Guildma đã cho triển khai “ Ghimob “, một Android banking trojan nhắm mục tiêu tới các ứng dụng tài chính của ngân hàng, công ty fintech, các sàn giao dịch tiền điện tử ở Brazil, Paraguay, Peru, Bồ Đào Nha, Đức, Angola và Mozambique.



“Ghimob là một phần mềm gián điệp đã được phát triển toàn diện. Sau khi lây nhiễm trên thiết bị của nạn nhân, nó cho phép tin tặc truy cập vào hệ thống của họ từ xa, và thực hiện các giao dịch gian lận bằng điện thoại thông minh của nạn nhân. Ngoài ra, mã độc này còn có thể qua mắt được hầu hết giải pháp bảo mật của các tổ chức tài chính, và tất cả hệ thống chống gian lận giao dịch của họ,” công ty an ninh mạng cho biết trong một bài phân tích đầu tuần qua.



Bên cạnh việc có cùng một cơ sở hạ tầng như của Guildma, Ghimob còn tiếp tục lợi dụng các email lừa đảo phishing để phát tán mã độc, lừa người dùng cả tin click vào link URL độc hại và khiến họ vô tình tải xuống trình cài đặt Ghimob APK về máy.



Sau khi được cài đặt trên thiết bị nạn nhân, banking trojan này sẽ che dấu sự hiện diện của mình bằng cách ẩn icon khỏi ngăn ứng dụng, lợi dụng các tính năng trợ năng của Android để duy trì tấn công, vô hiệu hóa việc gỡ cài đặt mã độc, và cho phép mã độc thu thập tổ hợp phím, thao túng nội dung hiển thị trên màn hình, cũng như cung cấp toàn quyền điều khiển từ xa cho kẻ tấn công.



“Ngay cả khi người dùng đặt kiểu khóa màn hình bằng hình vẽ, Ghimob vẫn có thể ghi lại và sau đó tự thực hiện để mở khóa thiết bị,” các nhà nghiên cứu cho biết.



“Khi tội phạm mạng bắt đầu thực hiện giao dịch, chúng sẽ chèn một màn hình đen làm lớp phủ trên hoặc mở một số trang web ở chế độ toàn màn hình. Và trong khi người dùng nhìn vào màn hình đó, tội phạm mạng sẽ thực hiện giao dịch ở nền sau (background) của thiết bị bằng cách sử dụng các ứng dụng tài chính đang chạy trên điện thoại mà nạn nhân đã mở hoặc đăng nhập vào trước đó.”



Được biết Ghimob nhắm mục tiêu tới 153 ứng dụng di động, 112 trong số đó là các tổ chức tài chính có trụ sở tại Brazil, các sàn giao dịch tiền điện tử và các ứng dụng ngân hàng ở Đức, Bồ Đào Nha, Peru, Paraguay, Angola và Mozambique.



“Ghimob là banking trojan Brazil đầu tiên sẵn sàng mở rộng phạm vi và nhắm mục tiêu tới các tổ chức tài chính tại quốc gia khác,” các nhà nghiên cứu của Kaspersky kết luận. “Trojan này đã được trang bị kỹ lưỡng để đánh cắp thông tin xác thực từ các ngân hàng, tổ chức tài chính, sàn giao dịch tiền điện tử, cũng như đánh cắp thông tin thẻ tín dụng từ các tổ chức tài chính hoạt động trên nhiều quốc gia khác nhau.”



Theo The Hacker News
The post Banking Trojan thực hiện giao dịch gian lận trên 112 ứng dụng tài chính khác nhau appeared first on SecurityDaily .

Top News