Hai ứng dụng độc hại trên Google Play lây nhiễm trojan ngân hàng Anubis cho hàng ngàn thiết bị

www.tuoitre.vn -   18/01/2019 10:00:00 4263

Google Play vừa gỡ bỏ 2 ứng dụng độc hại khỏi cửa hàng ứng dụng đã lây nhiễm trojan ngân hàng Anubis cho hàng ngàn thiết bị di động. Hãy kiểm tra thiết bị của bạn có bị dính phải 2 ứng dụng độc hại này không và lập tức gỡ ứng dụng khỏi máy nhé!

Hai ứng dụng độc hại trên Google Play lây nhiễm trojan ngân hàng Anubis cho hàng ngàn thiết bị

Hai ứng dụng gồm Currency Converter và BatterySaverMobo, xuất hiện dưới dạng các công cụ hữu ích trên di động giúp tính toán tiền tệ và tối ưu hóa dung lượng pin điện thoại. Nhưng thực chất, hai ứng dụng này đã ngầm tải các nhân tố độc hại có liên kết với mã độc ngân hàng Anubis  trên thiết bị đang chứa nó và sử dụng các chiêu trò tinh vi nhằm tránh bị phát hiện.

Các lỗ hổng bảo mật trên điện thoại di động có thể dẫn đến hậu quả cực kỳ nghiêm trọng cho nhiều người dùng. Do đó người dùng cần phải cảnh giác cao độ với bất kỳ ứng dụng nào yêu cầu thông tin đăng nhập ngân hàng cũng như khả năng liên kết hợp pháp với ngân hàng.

Nhìn chung, các nhà nghiên cứu bảo mật đã nhận thấy rằng phiên bản mới nhất của Anubis đã lây lan đến 93 quốc gia khác nhau và nhắm mục tiêu đến người dùng với 377 biến thể ứng dụng tài chính nhằm đánh cắp các tài khoản ngân hàng.

Phần mềm độc hại cho phép kẻ tấn công truy cập danh sách liên lạc và vị trí của thiết bị, có khả năng ghi lại âm thanh, gửi tin nhắn SMS, thực hiện các cuộc gọi và thay đổi bộ nhớ ngoài. Anubis sử dụng các quyền này nhằm gửi tin nhắn rác đến danh bạ, số cuộc gọi trên thiết bị cũng như các hoạt động độc hại khác.

Hai ứng dụng che giấu hành vi độc hại của mình rất tốt do đó rất khó phát hiện. BatterySaverMobo đã ghi lại hơn 5.000 lượt tải xuống trước khi bị xóa khỏi cửa hàng Google Play và còn có điểm đánh giá là 4.5 từ 70 người dùng trông có vẻ hợp pháp.

Hai ứng dụng độc hại trên Google Play lây nhiễm trojan ngân hàng Anubis cho hàng ngàn thiết bị

Khi điều tra sâu hơn thì các nhà nghiên cứu phát hiện rằng các ứng dụng này đã giảm tải trọng của ứng dụng để liên kết an toàn với phần mềm độc hại Anubis – một trojan ngân hàng được phát hiện trong chiến dịch tấn công Google Play trước đó. Anubis được tìm thấy trong một chiến dịch vào tháng 6 khi 10 trình tải xuống độc hại dưới dạng nhiều ứng dụng Google Play khác nhau đang tải trojan ngân hàng di động vào chạy nó trên thiết bị Android.

Sau khi phân tích tải trọng, các nhà nghiên cứu phát hiện mã này rất giống với Anubis đã biết và nó được kết nối với 1 máy chủ chỉ huy và kiểm soát (C&C) với tên miền aserogeege.space, được liên kết với Anubis.

KHi ứng dụng được tải xuống, mã độc bắt đầu chạy và lừa nạn nhân bằng cách thực hiện bản cập nhật hệ thống giả trên điện thoại của họ. KHi người dùng nhấp vào bản cập nhật này, ứng dụng sẽ tải và cài đặt APK độc hại. Từ đó, phần mềm độc hại chạy một loạt các chiêu thức tinh vi và phức tạp nhằm tránh sự phát hiện và thu thập thông tin cá nhân của người dùng.

Hai ứng dụng độc hại trên Google Play lây nhiễm trojan ngân hàng Anubis cho hàng ngàn thiết bị

Trong khi nhiều trojan di động khởi chạy một màn hình lớp phủ giả, sau đó đánh cắp thông tin đăng nhập vào lớp phủ đó, Anubis hoạt động hơi khác một chút. Ứng dụng độc hại sử dụng keylogger tích hợp để đánh cắp thông tin đăng nhập tài khoản của người dùng bằng cách ghi lại những gì mà nạn nhân nhập trên máy. Nó cũng có thể chụp ảnh màn hình của người dùng.

Anubis hiển thị các chiêu khác nhau nhằm tránh sự phát hiện từ người dùng. Sau khi tải xuống, mã độc cố gắng sử dụng dữ liệu cảm biến chuyển động để ẩn các hoạt động của nó. Ứng dụng độc hại giám sát các bước của người dùng qua các cảm biến chuyển động của thiết bị - nếu cảm biến chuyển động của điện thoại di động cho thấy nó không di chuyển, mã độc sẽ không chạy vì thiếu dữ liệu cảm biến có thể cho thấy thiết bị đang chạy trong môi trường sandbox thử nghiệm.

Sau khi người dùng di chuyển, thiết bị của họ thường tạo ra một lượng dữ liệu cảm biến chuyển động. Nhà phát triển phần mềm độc hại giả định rằng sandbox để quét phần mềm độc hại là trình giả lập không có cảm biến chuyển động và do đó sẽ không tạo ra loại dữ liệu đó. Nếu đó là trường hợp, nhà phát triển có thể xác định xem ứng dụng có chạy trong môi trường sandbox hay không bằng cách kiểm tra dữ liệu cảm biến.

Thêm một mẹo khác mà hacker dùng để giấu ứng dụng độc hại là ngụy trang máy chủ độc hại bằng  cách mã hóa nó trong các yêu cầu trang web Telegram và Twitter. Sau khi tải xuống, phần mềm độc hại sẽ yêu cầu Telegram hoặc Twitter. Sau đó đăng ký với máy chủ C&C và kiểm tra các lệnh yêu cầu HTTP Post. Nếu máy chủ phản hồi ứng dụng bằng lệnh APK và đính kèm URL thì Anubis sẽ được tải xuống dưới nền ứng dụng.

Minh Hương


TAGS

TIN CÙNG CHUYÊN MỤC

Cảnh báo lỗ hổng nghiêm trọng trên phần mềm WinRAR ảnh hưởng toàn bộ các phiên bản trong suốt 19 năm qua

21/02/2019 10:00:00 109
Người dùng hệ điều hành Windows đang phải đối mặt với một lỗ hổng thực thi từ xa cực nguy hiểm mới được phát hiện trong phần mềm phổ biến WinRAR ảnh hưởng đến hàng triệu người dùng trên thế giới.

Hack tài khoản Facebook? Chỉ cần lừa người đó mở một đường dẫn URL

20/02/2019 10:00:00 641
Năm 2019 là năm mà chỉ cần nhấn vào một đường dẫn URL cũng có thể giúp kẻ tấn công đánh cắp tài khoản của bạn mà không cần thêm bất kỳ tương tác nào.

Tiện ích mở rộng của Chrome lạm dụng hàng triệu quảng cáo

19/02/2019 10:00:00 17
Các tiện ích mở rộng trên trình duyệt Google Chrome giúp mang lại nhiều tính năng tiện dụng hơn cho người dùng khi lướt web, thế nhưng hiện nay trên cửa hàng tiện ích lại chứa rất nhiều tiện ích mở rộ...

Cảnh báo hình thức tấn công lừa đảo mới có thể đánh lừa ngay cả những người dùng tinh thông nhất

15/02/2019 02:00:00 1.726
Theo TheHackerNews, một chiến dịch tấn công với hình thức lừa đảo mới đã phát tán, có thể đánh lừa ngay cả những người dùng cẩn thận và tinh thông nhất.

Duyệt web ẩn danh trên Chrome sẽ thực sự an toàn sau khi Google cập nhật

15/02/2019 07:00:00 1.378
Trình duyệt Chrome của Google đã có chế độ ẩn danh từ lâu. Tuy nhiên, trình duyệt này luôn có một lỗ hổng cho phép các trang web biết được khi nào ai đó đang duyệt trang web của họ ở chế độ ẩn danh (i...

Tiếp tục 127 triệu tài khoản người dùng từ hàng loạt trang web bị rao bán sau khi bị hack

14/02/2019 10:00:00 69
Một tin tặc đã từng rao bán chi tiết của gần 620 triệu tài khoản trực tuyến bị đánh cắp trước đây từ 16 trang web phổ biến hiện đã đưa ra lô thứ hai gồm 127 triệu hồ sơ có nguồn gốc từ 8 trang web khá...

LIÊN HỆ

Thông tin liên hệ

Tặng chuột trị giá lên tới 200K cho đơn hàng từ 350K
Tặng chuột trị giá lên tới 200K cho đơn hàng từ 350K