Thêm một trojan ngân hàng Octo mới phát tán qua các ứng dụng giả mạo trên Google Play

www.tuoitre.vn -   08/04/2022 08:00:00 373

Một số ứng dụng Android giả mạo đã được cài đặt tính đến hiện nay trên Google Play đã hơn 50.000 lần đang được lợi dụng để nhắm mục tiêu tấn công các ngân hàng và các tổ chức tài chính khác.

Thêm một trojan ngân hàng Octo mới phát tán qua các ứng dụng giả mạo trên Google Play

Trojan ngân hàng này có tên là Octo, được cho là một thương hiệu của một phần mềm độc hại Android khác có tên là ExobotCompact, đến lượt nó, là một sự thay thế "nhỏ gọn" cho người tiền nhiệm Exobot của nó, công ty bảo mật di động Hà Lan ThreatFnai cho biết trong một báo cáo được chia sẻ với TheHackerNews.

Exobot cũng được cho là đã mở đường cho một hậu duệ riêng biệt có tên Coper, ban đầu được phát hiện nhắm mục tiêu vào người dùng Colombia vào khoảng tháng 7 năm 2021, với các lây nhiễm mới hơn nhắm mục tiêu người dùng Android ở các Quốc gia Châu Âu khác nhau.

"Ứng dụng phần mềm độc hại Coper được thiết kế theo mô-đun và bao gồm phương pháp lây nhiễm nhiều giai đoạn và nhiều chiến thuật phòng thủ để tồn tại trong các nỗ lực xóa", Cyble, công ty an ninh mạng Cyble đã lưu ý trong một phân tích về phần mềm độc hại vào tháng trước.

Thêm một trojan ngân hàng Octo mới phát tán qua các ứng dụng giả mạo trên Google Play

Giống như các trojan ngân hàng Android khác, các ứng dụng giả mạo không hơn gì các ứng dụng nhỏ giọt, có chức năng chính là triển khai tải các dữ liệu độc hại được nhúng bên trong chúng. Dưới đây là danh sách các ứng dụng đang được Octo và Coper lợi dụng để truyền tải các thành phần độc hại vào thiết bị của mục tiêu:

Pocket Screencaster (com.moh.screen)

Fast Cleaner 2021 (vizeeva.fast.cleaner)

Play Store (com.restthe71)

Postbank Security (com.carbuildz)

Pocket Screencaster (com.cutthousandjs)

BAWAG PSK Security (com.frontwonder2),

Play Store app install (com.theseeye5)

Các ứng dụng này, đóng vai trò là trình cài đặt ứng dụng Cửa hàng Play, ghi màn hình và ứng dụng tài chính, tồn tại trên google play và thông qua các trang đích lừa đảo nhằm dụ người dùng tải xuống bản cập nhật trình duyệt.

Sau khi chúng được cài đặt, chúng sẽ hoạt động như một ống dẫn để khởi chạy trojan, nhưng không phải trước khi yêu cầu người dùng kích hoạt Dịch vụ trợ năng cho phép nó có nhiều khả năng lọc thông tin nhạy cảm từ các điện thoại bị xâm nhập.

Octo, phiên bản sửa đổi của ExobotCompact, cũng được trang bị để thực hiện hành vi gian lận trên thiết bị bằng cách giành quyền điều khiển từ xa đối với các thiết bị bằng cách tận dụng quyền truy cập cũng như API MediaProjection của Android để ghi lại nội dung màn hình trong thời gian thực.

 

ThreatFnai cho biết, mục tiêu cuối cùng là kích hoạt "tự động bắt đầu các giao dịch gian lận và ủy quyền của nó mà không cần nỗ lực thủ công từ nhà điều hành, do đó cho phép gian lận trên quy mô lớn hơn đáng kể."

Các tính năng đáng chú ý khác của Octo bao gồm ghi lại các lần gõ phím, thực hiện các cuộc tấn công lớp phủ vào các ứng dụng ngân hàng để nắm bắt thông tin đăng nhập, thu thập thông tin liên hệ và các biện pháp bền bỉ để ngăn chặn việc gỡ cài đặt và tránh các công cụ chống vi-rút.

"Việc đổi thành Octo xóa mối quan hệ trước đây với vụ rò rỉ mã nguồn Exobot, mời nhiều kẻ đe dọa tìm kiếm cơ hội thuê một trojan được cho là mới và nguyên bản", ThreatFainst lưu ý.

"Các khả năng của nó gây rủi ro không chỉ cho các ứng dụng được nhắm mục tiêu rõ ràng bị tấn công lớp phủ nhắm mục tiêu mà bất kỳ ứng dụng nào được cài đặt trên thiết bị bị nhiễm như ExobotCompact / Octo đều có thể đọc nội dung của bất kỳ ứng dụng nào được hiển thị trên màn hình và cung cấp cho tác nhân đầy đủ thông tin để tương tác từ xa với nó và thực hiện gian lận trên thiết bị (ODF). "

Các phát hiện gần sau khi phát hiện ra một ngân hàng Android khác biệt có tên là GodFather - chia sẻ sự trùng lặp với trojan ngân hàng Cereberus và Medusa - đã được quan sát thấy nhắm mục tiêu vào người dùng ngân hàng ở châu Âu dưới vỏ bọc của ứng dụng Cài đặt mặc định để chuyển tiền và ăn cắp Tin nhắn SMS, trong số những tin nhắn khác.

Trên hết, một phân tích mới được xuất bản bởi AppCensus cho thấy 11 ứng dụng với hơn 46 triệu lượt cài đặt đã được cấy ghép với SDK của bên thứ ba có tên Coelib để có thể nắm bắt nội dung khay nhớ tạm, dữ liệu GPS, địa chỉ email, số điện thoại và thậm chí cả địa chỉ MAC của bộ định tuyến modem và SSID mạng của người dùng.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

5.4 triệu tài khoản Twitter bị tấn công ...

08/08/2022 08:00:00 35
Twitter hôm thứ Sáu đã tiết lộ rằng một lỗi zero-day hiện đã được vá đã được sử dụng để liên kết số ...

Đánh cắp dữ liệu, APT và ransomware: Mối...

05/08/2022 10:00:00 65
Khi thiệt hại do tấn công mạng gây ra cho các doanh nghiệp và quốc gia đã được phổ biến rộng rãi trê...

Hơn 3.200 ứng dụng điện thoại di động bị...

01/08/2022 08:00:00 43
Các nhà nghiên cứu bảo mật đã phát hiện ra danh sách 3.207 ứng dụng dành cho thiết bị di động đang đ...

Các giải pháp bảo mật dành cho doanh ngh...

29/07/2022 04:00:00 163
AV-TEST, tổ chức độc lập trong lĩnh vực bảo mật công nghệ thông tin, đã công nhận Kaspersky Endpoint...

Hàng tá ứng dụng Android trên cửa hàng G...

29/07/2022 08:00:00 166
Một chiến dịch độc hại đã tận dụng các ứng dụng nhỏ giọt của Android có vẻ vô hại trên Cửa hàng Goog...

Có hay không khả năng bị hack thông tin ...

29/07/2022 12:00:00 70
Cách duy nhất để bạn có thể thực sự an toàn là sử dụng tính năng bảo vệ chống virus zero-day cùng vớ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ