SharkBot – Trojan Android mới có khả năng đánh cắp tài khoản ngân hàng và tiền điện tử

Các chuyên gia nghiên cứu an ninh mạng vừa loại bỏ một Trojan Android mới lợi dụng các tính năng hỗ trợ trên các thiết bị di động để lấy thông tin đăng nhập từ các dịch vụ, ứng dụng ngân hàng và tiền mã hóa ở Ý, Anh và Hoa Kỳ.

Trojan Android này được đặt tên là SharkBot, được thiết kế để tấn công tổng cộng 27 mục tiêu là các ngân hàng quốc tế không cho biết tên ở Ý, Anh cũng như 5 ứng dụng tiền ảo mã hóa ở Mỹ - ít nhất là từ cuối tháng 10/2021 và được cho là trong giai đoạn phát triển ban đầu, không có bất kỳ sự trùng lặp nào với những mã độc trước đó mà các chuyên gia đã biết.

Mục tiêu chính của Trojan này là chuyển tiền từ các thiết bị bị xâm nhập thông qua kỹ thuật chuyển tiền tự động (ATS) bỏ qua cơ chế xác thực đa yếu tố như SCA.

Khi SharkBot được cài đặt thành công trong thiết bị của nạn nhân, những kẻ tấn công có thể lấy thông tin ngân hàng nhạy cảm thông qua việc lạm dụng Dịch vụ trợ năng, chẳng hạn như thông tin xác thực, thông tin cá nhân, số dư hiện tại, v.v., mà còn để thực hiện các cử chỉ trên thiết bị bị nhiễm.

Ngụy trang dưới danh nghĩa một ứng dụng khởi chạy đa phương tiện như TV trực tuyến, ứng dụng phục hồi dữ liệu, SharkBot như những ứng dụng độc hại khác TeaBot và UBEL, liên tục nhắc người dùng có cửa sổ bật lên giả mạo chỉ cấp cho nó quyền rộng để lấy cắp thông tin nhạy cảm. Điểm khác biệt của nó là việc khai thác các cài đặt trợ năng để thực hiện các cuộc tấn công ATS, cho phép các nhà khai thác "tự động điền vào các trường trong các ứng dụng ngân hàng di động hợp pháp và bắt đầu chuyển tiền từ các thiết bị bị xâm phạm đến mạng con la tiền được kiểm soát bởi [tác nhân đe dọa ]. "

Mô-đun hoạt động kinh doanh loại bỏ hiệu quả nhu cầu đăng ký một thiết bị mới để thực hiện các hoạt động gian lận, đồng thời bỏ qua cơ chế xác thực hai yếu tố do các ứng dụng ngân hàng đưa ra.

Ngoài ra, phần mềm độc hại này đi kèm với một số tính năng hiện đã được quan sát thấy trên tất cả các trojan ngân hàng Android, chẳng hạn như khả năng thực hiện các cuộc tấn công lớp phủ để lấy cắp thông tin đăng nhập và thông tin thẻ tín dụng, chặn các liên lạc ngân hàng hợp pháp được gửi qua SMS, kích hoạt tính năng ghi khóa và có được toàn quyền điều khiển từ xa của các thiết bị bị xâm phạm.

SharkBot cũng đáng chú ý vì các bước cần thực hiện để tránh phân tích và phát hiện, bao gồm chạy kiểm tra trình giả lập, mã hóa giao tiếp lệnh và điều khiển với máy chủ từ xa và ẩn biểu tượng của ứng dụng khỏi màn hình chính sau khi cài đặt. Không có mẫu phần mềm độc hại nào được phát hiện trên Cửa hàng Google Play chính thức, ngụ ý rằng các ứng dụng độc hại được cài đặt trên thiết bị của người dùng thông qua các kế hoạch chuyển tải hoặc kỹ thuật xã hội.

Các nhà nghiên cứu cho biết: Việc phát hiện ra SharkBot trong tự nhiên cho thấy "cách phần mềm độc hại di động đang nhanh chóng tìm ra những cách thức mới để thực hiện gian lận, cố gắng vượt qua các biện pháp đối phó phát hiện hành vi được áp dụng bởi nhiều ngân hàng và dịch vụ tài chính trong suốt những năm qua".

Hương – Theo TheHackerNews