Phát hiện mã độc trojan SharkBot trên điện thoại nhắm vào tài khoản ngân hàng và tiền ảo

Các chuyên gia an ninh mạng hôm thứ hai đã phát hiện một loại trojan Android mới. Loại trojan này lợi dụng các tính năng trợ năng trên điện thoại di động nhằm đánh cắp thông tin của các dịch vụ ngân hàng và tiền ảo tại Ý, Anh và Mỹ.

Được đặt tên là “SharkBot” bởi Cleafy, mã độc này được thiết kế nhằm tấn công tổng cộng 27 mục tiêu, bao gồm 22 ngân hàng quốc tế ở Ý và Anh cùng với 5 ứng dụng tiền ảo ở Mỹ ít nhất là kể từ cuối tháng 10/2021. Mã độc này được tin là đang ở trong giai đoạn đầu của quá trình phát triển và chưa có điểm chung nào được tìm thấy liên quan tới các mã độc đã biết.

Một chuyên gia cho biết trong báo cáo rằng: “Mục đích chính của SharkBot là kích hoạt các giao dịch chuyển tiền từ những thiết bị bị xâm nhập, sử dụng hệ thống chuyển tiền tự động (Automatic Transfer System – ATS) để vượt qua cơ chế xác thực nhiều lớp (ví dụ như SCA)”.

“Một khi SharkBot được cài đặt thành công trên thiết bị của nạn nhân, tin tặc thông qua việc lợi dụng dịch vụ trợ năng có thể nắm giữ được không chỉ các thông tin ngân hàng nhạy cảm như thông tin xác thực, thông tin cá nhân, số dư ngân hàng, mà còn có thể thực hiện các hành động trên thiết bị bị nhiễm mã độc”.

Với việc giả dạng là media player, live TV hoặc các ứng dụng khôi phục dữ liệu, SharkBot liên tục nhắc người dùng bằng các cửa sổ pop-up giả mạo nhằm cấp cho nó quyền truy cập rộng rãi để có thể đánh cắp thông tin nhạy cảm giống như những malware khác như TeaBot hay UBEL. Điểm khác biệt đó là việc SharkBot khai thác các cài đặt trợ năng để thực hiện các cuộc tấn công ATS, điều này cho phép các tin tặc có thể “tự động điền các thông tin trong ứng dụng ngân hàng hợp pháp và kích hoạt chuyển tiền từ các thiết bị bị xâm nhập tới một mạng lưới các con la tiền (money mule) được điều khiển bởi kẻ tấn công”.

Cách thức hoạt động này loại bỏ được việc cần sử dụng một thiết bị mới để thực hiện các hoạt động lừa đảo, đồng thời vượt qua cơ chế xác thực hai lớp được sử dụng bởi các ứng dụng ngân hàng.

Ngoài ra, mã độc này còn có một vài chức năng hiện đã được thấy ở trong tất cả các trojan ngân hàng trên Android, đó là khả năng thực hiện các cuộc tấn công overlay nhằm đánh cắp thông tin xác thực và thông tin thẻ tín dụng, can thiệp các liên lạc của ngân hàng được gửi qua SMS, kích hoạt keylogger và nắm giữ hoàn toàn quyền kiểm soát từ xa của các thiết bị bị xâm nhập.

SharkBot cũng được chú ý bởi cách các bước nó thực hiện để tránh việc bị phát hiện và phân tích bao gồm chạy các giả lập kiểm tra, mã hóa giao thức liên lạc và điều khiển với một máy chủ từ xa và giấu biểu tượng của ứng dụng khỏi màn hình chính sau khi cài đặt. Chưa có mẫu malware nào được phát hiện trên Google Play Store, điều này chứng tỏ rằng các phần mềm độc hại này được cài đặt trên thiết bị của nạn nhân thông qua các nguồn bên ngoài (sideloading) hoặc thông qua các kế hoạch tấn công phi kỹ thuật (social engineering schemes).

Các nhà nghiên cứu cho biết: Việc phát hiện Sharkbot trên thực tế đã cho thấy rằng “các mã độc trên điện thoại đang nhanh chóng tìm ra những phương thức mới để thực hiên việc lừa đảo, cố gắng vượt qua các biện pháp đối phó được ngân hàng và các dịch vụ tài chính áp dụng trong những năm qua”.

Theo Thehackernews