Hacker dùng chiêu thức mạo danh để lừa nạn nhân cài đặt phần mềm ngân hàng độc hại trên Android

Hacker sử dụng các chiến thuật lừa đảo bằng giọng nói mạo danh để lừa nạn nhân cài đặt phần mềm độc hại trên thiết bị Android của họ.

Một công ty bảo mật tại Hà Lan cho biết họ đã xác định được một mạng lưới các trang web lừa đảo đang nhắm mục tiêu vào người dùng ngân hàng trực tuyến của Ý, mạng lưới này được thiết kế để nắm giữ thông tin cá nhân và thông tin liên hệ của họ.

Cách thức tấn công được thực hiện qua điện thoại, chúng giả danh một nhân viên hỗ trợ từ ngân hàng và sử dụng các thông tin đã thu thập trước đó từ các trang web lừa đảo. Chúng hướng dẫn nạn nhân cài đặt một ứng dụng bảo mật và cấp cho nó các quyền ứng dụng. Trong thực tế, phần mềm này là các phần mềm độc hại được thiết lập với mục đích truy cập và thực hiện hành vi gian lận tài chính từ xa.

Chúng triển khai một phần mềm Android độc hại có tên là Copybara, một trojan di động được phát hiện vào lần đầu tiên vào tháng 11 năm 2021 và chủ yếu được sử dụng để thực hiện các gian lận trên thiết bị thông qua các cuộc tấn công lớp phủ nhắm mục tiêu là người dùng Ý. Copybara cũng bị nhầm lẫn với một họ phần mềm độc hại khác được gọi là BRATA.

ThreatFnai đánh giá các chiến dịch dựa trên TOAD đã bắt đầu cùng thời điểm, cho thấy rằng hoạt động này đã diễn ra trong gần một năm.

Giống như bất kỳ phần mềm độc hại dựa trên Android nào khác, khả năng RAT của Copybara được cung cấp bằng cách lạm dụng API dịch vụ trợ năng của hệ điều hành để thu thập thông tin nhạy cảm và thậm chí gỡ cài đặt ứng dụng trình tải xuống để giảm dấu vết pháp lý của nó.

Cơ sở hạ tầng mà kẻ đe dọa sử dụng đã được phát hiện để cung cấp phần mềm độc hại thứ hai có tên SMS Spy cho phép kẻ thù có quyền truy cập vào tất cả các tin nhắn SMS đến và chặn mật khẩu một lần (OTP) do ngân hàng gửi.

Làn sóng mới của các cuộc tấn công gian lận kết hợp đưa ra một khía cạnh mới cho những kẻ lừa đảo để thực hiện các chiến dịch thuyết phục phần mềm độc hại Android vốn dựa vào các phương pháp truyền thống như ống nhỏ giọt trên Cửa hàng Google Play, quảng cáo giả mạo và đánh bóng.

"Các cuộc tấn công như vậy đòi hỏi nhiều tài nguyên hơn từ phía [các tác nhân đe dọa '] và phức tạp hơn để thực hiện và duy trì", nhóm Thông báo về mối đe dọa di động (MTI) của ThreatFnai nói với The Hacker News.

"Chúng tôi cũng muốn chỉ ra rằng các cuộc tấn công có chủ đích từ góc độ lừa đảo thành công đáng tiếc là thành công hơn, ít nhất là trong chiến dịch cụ thể này."

Đây không phải là lần đầu tiên chiến thuật TOAD được sử dụng để điều phối các chiến dịch phần mềm độc hại ngân hàng. Tháng trước, MalwareHunterTeam đã trình bày chi tiết về một cuộc tấn công tương tự nhằm vào khách hàng của Axis Bank, một ngân hàng có trụ sở tại Ấn Độ, nhằm cài đặt một kẻ đánh cắp thông tin mạo danh một ứng dụng phần thưởng thẻ tín dụng.

Nhóm MTI cho biết: "Bất kỳ cuộc gọi đáng ngờ nào cũng nên được kiểm tra bằng cách gọi cho tổ chức tài chính của bạn", đồng thời cho biết thêm "các tổ chức tài chính nên cung cấp cho khách hàng của họ kiến thức về các chiến dịch đang diễn ra và nâng cao các ứng dụng của khách hàng với các cơ chế phát hiện hoạt động đáng ngờ".

Hương