Hacker tấn công router DNS để lây lan mã độc Trojan Banking Android

www.tuoitre.vn -   17/04/2018 10:00:00 3464

Các nhà nghiên cứu bảo mật đã thông báo về một chiến dịch tấn công các router Internet nhằm lây lan mã độc Troian Banking trên Android nhằm đánh cắp các thông tin nhạy cảm của người dung, thông tin đăng nhập và các mật mã dùng để xác thực 2 yếu tố.

Một chiến dịch tấn công các router Internet nhằm lây lan mã độc Troian Banking trên Android nhằm đánh cắp các thông tin nhạy cảm của người dung, thông tin đăng nhập và các mật mã dùng để xác thực 2 yếu tố.

Để lừa nạn nhân cài đặt phần mềm độc hại vào thiết bị, hacker sẽ chiếm quyền điều kiển các thiết lập DNS trên các router internet chứa nhiều lỗ hổng bảo mật và không an toàn, qua đó cài trojan mang tên Roaming Mantis. Chiêu thức này cho phép hacker chặn được lưu lượng truy cập và đưa các quảng cáo giả mạo vào trang web đồng thời chuyển hướng người dùng đến các trang lừa đảo được thiết kế với giao diện gần giống trang dịch vụ nạn nhân thường dùng đề lừa họ nhập các thông tin nhạy cảm nhưng thông tin đăng nhập, chi tiết về tài khoản ngân hang và các dữ liệu quan trọng khác.

Tấn công DNS nhằm mục đích lây lan mã độc không phải là chiêu thức mới. Trước đây, các chuyên gia bảo mật đã từng báo cáo một lần về DNSChanger và Switcher đang phát tán dưới dạng thay đổi các thiết lập DNS của các router nhằm chuyển hướng lưu lượng tới các trang web độc hại do hacker kiểm soát.

Chiến dịch này đã được Kaspersky Lab phát hiện, chủ yếu nhắm mục tiêu các đối tượng người dùng ở Châu Á, trong đó có Hàn Quốc, Trung Quốc, Banladesh và Nhật Bản từ tháng 2 năm nay.

Một khi đã chỉnh sửa thiết lập, các thiết lập DNS giả mạo được cấu hình bởi hacker sẽ chuyển hướng nạn nhân đến phiên bản giả mạo của các trang web phổ biến mà người dùng đang truy cập. Lúc này màn hình sẽ hiển thị một thông báo bật lên rằng “Để trải nghiệm trình duyệt tốt hơn, hãy cập nhật phiên bản Chrome mới nhất”.

Một chiến dịch tấn công các router Internet nhằm lây lan mã độc Troian Banking trên Android nhằm đánh cắp các thông tin nhạy cảm của người dung, thông tin đăng nhập và các mật mã dùng để xác thực 2 yếu tố.

Sau đó tải xuống ứng dụng mà người dùng không hề biết rằng nó chính là Roaming Mantis đang giả mạo là một ứng dụng trình duyệt Chrome dành cho Android, cho phép thực hiện các thao tác thu thập thông tin tài khoản thiết bị, quản lý SMS/MMS và thực hiện cuộc gọi, ghi âm, quản lý bộ nhớ, kiểm tra các hoạt động hệ thống, mở cửa số ứng dụng che phủ màn hình…

Việc chuyển hướng dẫn đến việc cài đặt các ứng dụng trojan độc hại có tên facebook.apk và chrome.apk. Nếu được cài đặt, ứng dụng độc hại này sẽ ngay lập tức hiển thị một thông báo giả mạo sai chính tả tiếng Anh, dịch nôm na là “Tài khoản có nguy cơ rủi ro bảo mật cao, sử dụng sau khi chứng nhận”.

Một chiến dịch tấn công các router Internet nhằm lây lan mã độc Troian Banking trên Android nhằm đánh cắp các thông tin nhạy cảm của người dung, thông tin đăng nhập và các mật mã dùng để xác thực 2 yếu tố.

Lúc này Roaming Mantis sẽ bắt đầu một máy chủ kết nối với thiết bị và mở một trình duyệt web nhằm mở trang web giả mạo Google, yêu cầu người dùng điền tên của họ và và ngày sinh.

Để them phần thuyết phục, trang giả mạo còn hiển thị ID gmail của người dùng được cấu hình trên thiết bị của họ như ảnh chụp màn hình bên dưới.

Một chiến dịch tấn công các router Internet nhằm lây lan mã độc Troian Banking trên Android nhằm đánh cắp các thông tin nhạy cảm của người dung, thông tin đăng nhập và các mật mã dùng để xác thực 2 yếu tố.

Sau khi người dùng nhập tên và ngày sinh, trình duyệt này sẽ chuyển hướng đến một trang trống http://127.0.0.1:${random_port}/submit. Phần mềm độc hại còn hỗ trợ đến 4 ngôn ngữ như Hàn Quốc, Trung Quốc, Nhật và Anh. Và vì nó có khả năng đọc và soạn tin nhắn SMS trên thiết bị, nó cho phép hacker có thể đánh cắp mã xác minh để xác thực 2 yếu tố cho tài khoản này một cách dễ dàng.

Khi phân tích mã độc, các nhà nghiên cứu tìm ra tài liệu tham khảo về các ứng dụng ngân hàng và trò chơi phổ biến trên điện thoại di động Hàn Quốc, cũng như tính năng có thể phát hiện ra thiết bị bị nhiễm đã root hay chưa. Qua đó hacker có thể lợi dụng quyền truy cập root toàn bộ hệ thống.

Thêm vào đó, họ còn phát hiện mã độc sử dụng 1 trong những trang web truyền thông xã hội hàng đầu Trung Quốc làm máy chủ điều khiển và gửi các lệnh đến các thiết bị bị lây nhiểm bằng cách cập nhật hồ sơ người dùng bị tấn công kiểm soát.

Theo dữ liệu từ Kaspersky Lab, phần mềm độc hại Roaming Mantis được phát hiện hơn 6000 lần, dù báo cáo chỉ có từ 150 người dùng.

Do đó, bạn nên đảm bảo rằng router của bạn đang sử dụng phiên bản mới nhất của phần mềm và được bảo vệ bằng một mật khẩu mạnh. Ngoài ra bạn cũng nên vô hiệu hóa các tính năng quản trị từ xa của router cũng như sử dụng máy chủ DNS đáng tin cậy trên hệ điều hành.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 51
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 57
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 53
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 83
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 57
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 84
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ