WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Banking Trojan với 10.000 lượt cài đặt trên Android có thể vượt qua xác thực 2 bước
Malware giả mạo một ứng dụng thu âm cuộc gọi hợp pháp.
Nhà nghiên cứu an ninh Lukas Stefanko đã mô tả chi tiết trên blog của mình cách banking Trojan giả mạo một ứng dụng ghi âm cuộc gọi hợp lệ để đánh cắp thông tin ngân hàng từ các thiết bị Android bị tấn công.
Ứng dụng bị nhiễm mã độc đã được cài đặt trên hơn 10.000 thiết bị Android và cố gắng đánh cắp thông tin đăng nhập ngân hàng mặc dù xác thực hai yếu tố qua SMS đã được bật trên thiết bị thử nghiệm với sự trợ giúp của các dịch vụ liên quan đến khả năng truy cập (accessibility service) trên Android.
Theo nhà nghiên cứu an ninh di động của ESET, ứng dụng QRecorder Android ban đầu là một ứng dụng không độc hại, nhưng trong bản phát hành tiếp theo, nhà phát triển đã quyết định đưa vào banking Trojan để kiếm tiền nhanh chóng.
QRecorder giả mạo là một tiện ích ghi âm cuộc gọi và giọng nói tự động với tính năng yêu cầu nạn nhân cho phép chạy đè trên các ứng dụng khác, có thể là để chèn giao diện giả mạo vào các ứng dụng ngân hàng chính thức mà nạn nhân sử dụng, từ đó đánh cắp thông tin cá nhân.
Khi người dùng điền thông tin đăng nhập, banking Trojan sẽ gửi tất cả thông tin tới máy chủ của kẻ tấn công.
Loại banking Trojan này sử dụng cách mới để vượt qua xác thực 2 yếu tố nhờ vào giao diện giả mạo.
Điều đáng chú ý là ứng dụng độc hại này không trực tiếp tấn công lừa đảo vì nó không hề có tính năng Trojan nhưng nó sẽ hoạt động như một dropper, chờ lệnh kích hoạt từ kẻ lừa đảo và tải xuống Trojan payload theo yêu cầu.
Kẻ tấn công sẽ quyết định quá trình hành động dựa vào các ứng dụng được cài đặt trên thiết bị Android bị tấn công, lây nhiễm chỉ leo thang nếu một trong 18 ứng dụng ngân hàng chính thức từ Đức, Ba Lan và Cộng hòa Séc được cài đặt.
Trước khi payload độc hại được tải xuống, QRecorder sẽ yêu cầu nạn nhân kích hoạt các dịch vụ Accessibility để tải, cài đặt và khởi chạy malware.
Các bước tiếp theo là mở giao diện giả mạo mỗi khi các ứng dụng ngân hàng chính thức được khởi chạy và sau đó thu thập và gửi thông tin đăng nhập cho kẻ tấn công.
Đến hiện tại, chỉ mới xác định được hai nạn nhân của loại trojan này với số tiền bị đánh cắp là €10.000 ($11.734). Tuy nhiên danh sách nạn nhân có thể tăng lên nhanh chóng dựa trên số thiết bị đã cài đặt ứng dụng QRecorder.
Ứng dụng bị nhiễm mã độc đã được cài đặt trên hơn 10.000 thiết bị Android và cố gắng đánh cắp thông tin đăng nhập ngân hàng mặc dù xác thực hai yếu tố qua SMS đã được bật trên thiết bị thử nghiệm với sự trợ giúp của các dịch vụ liên quan đến khả năng truy cập (accessibility service) trên Android.
Theo nhà nghiên cứu an ninh di động của ESET, ứng dụng QRecorder Android ban đầu là một ứng dụng không độc hại, nhưng trong bản phát hành tiếp theo, nhà phát triển đã quyết định đưa vào banking Trojan để kiếm tiền nhanh chóng.
QRecorder giả mạo là một tiện ích ghi âm cuộc gọi và giọng nói tự động với tính năng yêu cầu nạn nhân cho phép chạy đè trên các ứng dụng khác, có thể là để chèn giao diện giả mạo vào các ứng dụng ngân hàng chính thức mà nạn nhân sử dụng, từ đó đánh cắp thông tin cá nhân.
Khi người dùng điền thông tin đăng nhập, banking Trojan sẽ gửi tất cả thông tin tới máy chủ của kẻ tấn công.
Loại banking Trojan này sử dụng cách mới để vượt qua xác thực 2 yếu tố nhờ vào giao diện giả mạo.
Điều đáng chú ý là ứng dụng độc hại này không trực tiếp tấn công lừa đảo vì nó không hề có tính năng Trojan nhưng nó sẽ hoạt động như một dropper, chờ lệnh kích hoạt từ kẻ lừa đảo và tải xuống Trojan payload theo yêu cầu.
Kẻ tấn công sẽ quyết định quá trình hành động dựa vào các ứng dụng được cài đặt trên thiết bị Android bị tấn công, lây nhiễm chỉ leo thang nếu một trong 18 ứng dụng ngân hàng chính thức từ Đức, Ba Lan và Cộng hòa Séc được cài đặt.
Trước khi payload độc hại được tải xuống, QRecorder sẽ yêu cầu nạn nhân kích hoạt các dịch vụ Accessibility để tải, cài đặt và khởi chạy malware.
Các bước tiếp theo là mở giao diện giả mạo mỗi khi các ứng dụng ngân hàng chính thức được khởi chạy và sau đó thu thập và gửi thông tin đăng nhập cho kẻ tấn công.
Đến hiện tại, chỉ mới xác định được hai nạn nhân của loại trojan này với số tiền bị đánh cắp là €10.000 ($11.734). Tuy nhiên danh sách nạn nhân có thể tăng lên nhanh chóng dựa trên số thiết bị đã cài đặt ứng dụng QRecorder.
Theo Softpedia