Một trojan ngân hàng mới nhắm mục tiêu vào các nước Châu Âu

Một trojan ngân hàng mới chạy trên hệ điều hành Android với hơn 50,000 lượt cài đặt được phát hiện đã phân phối thông qua Cửa hàng Google Play chính thức. Mục tiêu của việc phân phối này là nhắm vào 56 ngân hàng ở Châu Âu và tiến hành khai thác thông tin nhạy cảm từ các thiết bị bị xâm nhập.



Được công ty bảo mật ThreatFnai của Hà Lan đặt tên là Xenomorph , phần mềm độc hại đang trong quá trình phát triển này được cho là có một số điểm tương đồng với một trojan ngân hàng khác được theo dõi với tên gọi Alien. Tuy nhiên, phần mềm độc hại Xenomorph “hoàn toàn khác” so với Alien về các chức năng.



Han Sahin, người sáng lập và Giám đốc điều hành của ThreatFabric cho biết: “Mặc dù đang trong quá trình hoàn thiện, Xenomorph đã tấn công lớp phủ hiệu quả và tích cực phân phối trên cửa hàng ứng dụng chính thức. Ngoài ra, phần mềm này còn nổi bật với một động cơ mô-đun rất tỉ mỉ để lợi dụng các dịch vụ hỗ trợ mà trong tương lai có thể hỗ trợ cho các tính năng rất tiên tiến như ATS.”



Alien, một trojan truy cập từ xa (RAT) với tính năng đánh cắp thông báo và đánh cắp 2FA dựa trên trình xác thực. Trojan này xuất hiện ngay sau sự sụp đổ của phần mềm độc hại khét tiếng Cerberus vào tháng 8/2020. Kể từ đó, các nhánh khác của Cerberus đã được phát hiện trên diện rộng, bao gồm cả ERMAC vào tháng 9/2021.



Xenomorph, giống như Alien và ERMAC, là một ví dụ khác về trojan ngân hàng Android tập trung vào việc phá vỡ các biện pháp bảo mật của Cửa hàng Google Play bằng cách giả dạng các ứng dụng năng suất như “Fast Cleaner” để lừa những nạn nhân cài đặt phần mềm độc hại mà họ không hề hay biết.



Điều đáng chú ý là một ứng dụng rèn luyện thể hình với hơn 10.000 lượt cài đặt với tên gọi GymDrop được phát hiện đã phân phối payload trojan ngân hàng Alien vào tháng 11 bằng cách giả dạng “gói bài tập thể dục mới.”



Dữ liệu từ công ty tình báo thị trường ứng dụng di động Sensor Tower tiết lộ rằng Fast Cleaner với tên gói là “vizeeva.fast.cleaner” và tiếp tục có mặt trên cửa hàng ứng dụng, đã trở nên phổ biến nhất ở Bồ Đào Nha và Tây Ban Nha. Ứng dụng này lần đầu tiên xuất hiện trên Cửa hàng Play vào cuối tháng 1/2022.



Hơn nữa, các bài đánh giá về ứng dụng từ người dùng đi kèm với cảnh báo rằng “ứng dụng này có phần mềm độc hại” và ứng dụng “yêu cầu liên tục xác nhận cập nhật.” Một người dùng khác cho biết: “Ứng dụng cài phần mềm độc hại vào thiết bị và ngoài ra, ứng dụng này còn có hệ thống tự bảo vệ để bạn không thể gỡ cài đặt nó.”



Một chiến thuật khác cũng được Xenomorph sử dụng là chiến thuật đã được thử nghiệm theo thời gian để lôi kéo nạn nhân cấp cho phần mềm độc hại này các đặc quyền của Dịch vụ Hỗ trợ và lạm quyền để tiến hành tấn công lớp phủ (overlay attack), trong đó phần mềm độc hại đưa các màn hình đăng nhập giả mạo lên trên các ứng dụng được nhắm mục tiêu từ Tây Ban Nha, Bồ Đào Nha, Ý và Bỉ để bòn rút thông tin xác thực và thông tin cá nhân khác.



Ngoài ra, Xenomorph còn được trang bị tính năng chặn thông báo để trích xuất token xác thực hai yếu tố nhận được qua SMS và nhận danh sách các ứng dụng đã cài đặt, kết quả của chúng được chuyển sang máy chủ điều khiển và chỉ huy từ xa.



Các nhà nghiên cứu cho biết: “Sự xuất hiện của Xenomorph một lần nữa cho thấy rằng các tác nhân đe dọa đang tập trung vào các ứng dụng đích trên các thị trường chính thức. Phần mềm độc hại ngân hàng hiện đại đang phát triển với tốc độ rất nhanh và bọn tội phạm đang bắt đầu áp dụng các phương pháp tinh vi hơn để hỗ trợ các bản cập nhật trong tương lai.”



Theo The Hacker News
The post Một trojan ngân hàng mới nhắm mục tiêu vào các nước Châu Âu appeared first on SecurityDaily .