Hacker tấn công router DNS để lây lan mã độc Trojan Banking Android
Các nhà nghiên cứu bảo mật đã thông báo về một chiến dịch tấn công các router Internet nhằm lây lan mã độc Troian Banking trên Android nhằm đánh cắp các thông tin nhạy cảm của người dung, thông tin đăng nhập và các mật mã dùng để xác thực 2 yếu tố.
Để lừa nạn nhân cài đặt phần mềm độc hại vào thiết bị, hacker sẽ chiếm quyền điều kiển các thiết lập DNS trên các router internet chứa nhiều lỗ hổng bảo mật và không an toàn, qua đó cài trojan mang tên Roaming Mantis. Chiêu thức này cho phép hacker chặn được lưu lượng truy cập và đưa các quảng cáo giả mạo vào trang web đồng thời chuyển hướng người dùng đến các trang lừa đảo được thiết kế với giao diện gần giống trang dịch vụ nạn nhân thường dùng đề lừa họ nhập các thông tin nhạy cảm nhưng thông tin đăng nhập, chi tiết về tài khoản ngân hang và các dữ liệu quan trọng khác.
Tấn công DNS nhằm mục đích lây lan mã độc không phải là chiêu thức mới. Trước đây, các chuyên gia bảo mật đã từng báo cáo một lần về DNSChanger và Switcher đang phát tán dưới dạng thay đổi các thiết lập DNS của các router nhằm chuyển hướng lưu lượng tới các trang web độc hại do hacker kiểm soát.
Chiến dịch này đã được Kaspersky Lab phát hiện, chủ yếu nhắm mục tiêu các đối tượng người dùng ở Châu Á, trong đó có Hàn Quốc, Trung Quốc, Banladesh và Nhật Bản từ tháng 2 năm nay.
Một khi đã chỉnh sửa thiết lập, các thiết lập DNS giả mạo được cấu hình bởi hacker sẽ chuyển hướng nạn nhân đến phiên bản giả mạo của các trang web phổ biến mà người dùng đang truy cập. Lúc này màn hình sẽ hiển thị một thông báo bật lên rằng “Để trải nghiệm trình duyệt tốt hơn, hãy cập nhật phiên bản Chrome mới nhất”.
Sau đó tải xuống ứng dụng mà người dùng không hề biết rằng nó chính là Roaming Mantis đang giả mạo là một ứng dụng trình duyệt Chrome dành cho Android, cho phép thực hiện các thao tác thu thập thông tin tài khoản thiết bị, quản lý SMS/MMS và thực hiện cuộc gọi, ghi âm, quản lý bộ nhớ, kiểm tra các hoạt động hệ thống, mở cửa số ứng dụng che phủ màn hình…
Việc chuyển hướng dẫn đến việc cài đặt các ứng dụng trojan độc hại có tên facebook.apk và chrome.apk. Nếu được cài đặt, ứng dụng độc hại này sẽ ngay lập tức hiển thị một thông báo giả mạo sai chính tả tiếng Anh, dịch nôm na là “Tài khoản có nguy cơ rủi ro bảo mật cao, sử dụng sau khi chứng nhận”.
Lúc này Roaming Mantis sẽ bắt đầu một máy chủ kết nối với thiết bị và mở một trình duyệt web nhằm mở trang web giả mạo Google, yêu cầu người dùng điền tên của họ và và ngày sinh.
Để them phần thuyết phục, trang giả mạo còn hiển thị ID gmail của người dùng được cấu hình trên thiết bị của họ như ảnh chụp màn hình bên dưới.
Sau khi người dùng nhập tên và ngày sinh, trình duyệt này sẽ chuyển hướng đến một trang trống http://127.0.0.1:${random_port}/submit. Phần mềm độc hại còn hỗ trợ đến 4 ngôn ngữ như Hàn Quốc, Trung Quốc, Nhật và Anh. Và vì nó có khả năng đọc và soạn tin nhắn SMS trên thiết bị, nó cho phép hacker có thể đánh cắp mã xác minh để xác thực 2 yếu tố cho tài khoản này một cách dễ dàng.
Khi phân tích mã độc, các nhà nghiên cứu tìm ra tài liệu tham khảo về các ứng dụng ngân hàng và trò chơi phổ biến trên điện thoại di động Hàn Quốc, cũng như tính năng có thể phát hiện ra thiết bị bị nhiễm đã root hay chưa. Qua đó hacker có thể lợi dụng quyền truy cập root toàn bộ hệ thống.
Thêm vào đó, họ còn phát hiện mã độc sử dụng 1 trong những trang web truyền thông xã hội hàng đầu Trung Quốc làm máy chủ điều khiển và gửi các lệnh đến các thiết bị bị lây nhiểm bằng cách cập nhật hồ sơ người dùng bị tấn công kiểm soát.
Theo dữ liệu từ Kaspersky Lab, phần mềm độc hại Roaming Mantis được phát hiện hơn 6000 lần, dù báo cáo chỉ có từ 150 người dùng.
Do đó, bạn nên đảm bảo rằng router của bạn đang sử dụng phiên bản mới nhất của phần mềm và được bảo vệ bằng một mật khẩu mạnh. Ngoài ra bạn cũng nên vô hiệu hóa các tính năng quản trị từ xa của router cũng như sử dụng máy chủ DNS đáng tin cậy trên hệ điều hành.
Minh Hương
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Hướng dẫn cài đặt Kaspersky For Android với Kasper...
- Hướng dẫn cài đặt Kaspersky Safe Kids For Android ...
- Tại sao không tìm thấy các sản phẩm của Kaspersky ...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...