-
18/08/2021
-
45
-
73 bài viết
Chiến dịch phần mềm độc hại FluBot và TeaBot lan rộng nhắm vào các thiết bị Android
Các nhà nghiên cứu từ nhóm Bitdefender Mobile Threats cho biết họ đã chặn hơn 100.000 tin nhắn SMS độc hại cố gắng phân phối phần mềm độc hại Flubot kể từ đầu tháng 12.
"Những phát hiện cho thấy kẻ tấn công đang sửa các dòng chủ đề của chúng và sử dụng các trò lừa đảo cũ để lôi kéo người dùng nhấp vào", Công ty An ninh mạng Rumani nêu chi tiết trong một báo cáo được công bố hôm thứ Tư. Ngoài ra, những kẻ tấn công đang nhanh chóng thay đổi các quốc gia mà chúng đang nhắm mục tiêu trong chiến dịch này".
Làn sóng tấn công mới của hacker được cho là hoạt động mạnh mẽ nhất ở Úc, Đức, Ba Lan, Tây Ban Nha, Áo và Ý, đồng thời lan sang các quốc gia khác như Romania, Hà Lan và Thái Lan bắt đầu từ giữa tháng Giêng.
Các chiến dịch FluBot (còn gọi là Cabassous) sử dụng smishing làm phương pháp phân phối chính để nhắm mục tiêu các nạn nhân tiềm năng, trong đó người dùng nhận được tin nhắn SMS với câu hỏi "Đây có phải là bạn trong video này không?" và bị lừa nhấp vào liên kết cài đặt phần mềm độc hại.
"Vector mới này về trojan banking cho thấy những kẻ tấn công đang tìm cách mở rộng qua các tin nhắn SMS độc hại thông thường", các nhà nghiên cứu cho biết.
Ứng dụng cung cấp chức năng quét mã QR đúng như tên gọi, nhưng nó cũng được thiết kế để lấy tệp APK độc hại được lưu trữ trên GitHub, khi xác định rằng mã quốc gia của nhà điều hành đã đăng ký hiện tại không bắt đầu bằng chữ "U".
Việc cài đặt ứng dụng giả mạo sau đó hiển thị giao diện giả thông báo cho người dùng rằng cần có bản cập nhật bổ trợ và cài đặt cho phép cài đặt từ các nguồn không xác định cần phải được kích hoạt để áp dụng bản cập nhật.
BitDefender cho biết họ đã xác định thêm bốn ứng dụng dropper - 2FA Authenticator, QR Scanner APK, QR Code Scan và Smart Cleaner - có sẵn trên Play Store và phân phối phần mềm độc hại TeaBot kể từ tháng 4 năm 2021.
Một kỹ thuật khác được hacker áp dụng là lập versioning, hoạt động bằng cách gửi phiên bản an toàn của ứng dụng lên cửa hàng ứng dụng với mục đích qua mặt quá trình xem xét do Google đưa ra, sau đó thay thế codebase bằng những tệp độc hại bổ sung thông qua các bản cập nhật.
Ngoài việc qua mặt các biện pháp bảo vệ của Play Store để tiếp cận một nhóm lây nhiễm rộng hơn, kẻ tấn công được cho là đã trả tiền để xuất hiện trong Google Ads được phục vụ trong các ứng dụng và trò chơi hợp pháp khác, "cho họ thời gian hiển thị trên màn hình trong một ứng dụng có thể có hàng triệu người dùng".
Một báo cáo từ Công ty An ninh mạng Hà Lan ThreatFabric cho thấy đã tìm thấy sáu droppers Anatsa trên Play Store kể từ tháng 6 năm 2021. Các ứng dụng được lập trình để tải xuống một "bản cập nhật" tiếp theo là nhắc nhở người dùng cấp cho họ các đặc quyền và quyền của Dịch vụ Trợ năng để cài đặt ứng dụng từ các nguồn không xác định của bên thứ ba.
"Các tác nhân độc hại coi phần mềm độc hại như một sản phẩm, với sự phát triển và phiên bản, làm việc chăm chỉ để phá vỡ các công nghệ an ninh và thu hút nhiều nạn nhân hơn", Richard Melick, Giám đốc chiến lược sản phẩm về bảo mật điểm cuối tại Zimperium, cho biết.
"Khi một phiên bản bị gián đoạn, hacker quay trở lại phát triển phiên bản tiếp theo, đặc biệt là khi kết quả đã có hiệu quả. Và điểm cuối di động là một mục tiêu cực kỳ sinh lợi cho những kẻ tấn công", Melick nói thêm.
Gian lận thanh toán, cũng được phân loại là “fleeceware” ("bộ lông cừu"), được cho là đã ảnh hưởng đến hơn 105 triệu người dùng trên hơn 70 quốc gia, với hầu hết các nạn nhân ở Ai Cập, Phần Lan, Ấn Độ, Pakistan và Thụy Điển.
Trong khi phần lớn các ứng dụng trojan đã bị thanh lọc khỏi Play Store, chúng vẫn có sẵn trên các cửa hàng ứng dụng của bên thứ ba, một lần nữa nhấn mạnh những nguy hiểm tiềm ẩn khi tải các ứng dụng trong thiết bị di động.
"Ngoài hơn 470 ứng dụng Android, việc phân phối các ứng dụng đã được lên kế hoạch cực kỳ tốt, lan truyền ứng dụng của hacker trên nhiều danh mục khác nhau, mở rộng phạm vi nạn nhân tiềm năng", nhà nghiên cứu Aazim Yaswant của Zimperium cho biết. Bản thân các ứng dụng cũng hoạt động các tính năng như quảng cáo, làm người dùng tăng cảm giác an toàn".
"Những phát hiện cho thấy kẻ tấn công đang sửa các dòng chủ đề của chúng và sử dụng các trò lừa đảo cũ để lôi kéo người dùng nhấp vào", Công ty An ninh mạng Rumani nêu chi tiết trong một báo cáo được công bố hôm thứ Tư. Ngoài ra, những kẻ tấn công đang nhanh chóng thay đổi các quốc gia mà chúng đang nhắm mục tiêu trong chiến dịch này".
Làn sóng tấn công mới của hacker được cho là hoạt động mạnh mẽ nhất ở Úc, Đức, Ba Lan, Tây Ban Nha, Áo và Ý, đồng thời lan sang các quốc gia khác như Romania, Hà Lan và Thái Lan bắt đầu từ giữa tháng Giêng.
Các chiến dịch FluBot (còn gọi là Cabassous) sử dụng smishing làm phương pháp phân phối chính để nhắm mục tiêu các nạn nhân tiềm năng, trong đó người dùng nhận được tin nhắn SMS với câu hỏi "Đây có phải là bạn trong video này không?" và bị lừa nhấp vào liên kết cài đặt phần mềm độc hại.
"Vector mới này về trojan banking cho thấy những kẻ tấn công đang tìm cách mở rộng qua các tin nhắn SMS độc hại thông thường", các nhà nghiên cứu cho biết.
TeaBot giả dạng ứng dụng quét mã QR
Không chỉ Flubot, một trojan Android khác có tên TeaBot (còn gọi là Anatsa) đã được quan sát thấy ẩn nấp trên Google Play Store dưới dạng ứng dụng có tên "QR Code Reader - Scanner App", thu hút hơn 100.000 lượt tải xuống và cung cấp 17 biến thể khác nhau của phần mềm độc hại từ ngày 6 tháng 12 năm 2021 đến ngày 17 tháng 1 năm 2022.Ứng dụng cung cấp chức năng quét mã QR đúng như tên gọi, nhưng nó cũng được thiết kế để lấy tệp APK độc hại được lưu trữ trên GitHub, khi xác định rằng mã quốc gia của nhà điều hành đã đăng ký hiện tại không bắt đầu bằng chữ "U".
Việc cài đặt ứng dụng giả mạo sau đó hiển thị giao diện giả thông báo cho người dùng rằng cần có bản cập nhật bổ trợ và cài đặt cho phép cài đặt từ các nguồn không xác định cần phải được kích hoạt để áp dụng bản cập nhật.
BitDefender cho biết họ đã xác định thêm bốn ứng dụng dropper - 2FA Authenticator, QR Scanner APK, QR Code Scan và Smart Cleaner - có sẵn trên Play Store và phân phối phần mềm độc hại TeaBot kể từ tháng 4 năm 2021.
Một kỹ thuật khác được hacker áp dụng là lập versioning, hoạt động bằng cách gửi phiên bản an toàn của ứng dụng lên cửa hàng ứng dụng với mục đích qua mặt quá trình xem xét do Google đưa ra, sau đó thay thế codebase bằng những tệp độc hại bổ sung thông qua các bản cập nhật.
Ngoài việc qua mặt các biện pháp bảo vệ của Play Store để tiếp cận một nhóm lây nhiễm rộng hơn, kẻ tấn công được cho là đã trả tiền để xuất hiện trong Google Ads được phục vụ trong các ứng dụng và trò chơi hợp pháp khác, "cho họ thời gian hiển thị trên màn hình trong một ứng dụng có thể có hàng triệu người dùng".
Một báo cáo từ Công ty An ninh mạng Hà Lan ThreatFabric cho thấy đã tìm thấy sáu droppers Anatsa trên Play Store kể từ tháng 6 năm 2021. Các ứng dụng được lập trình để tải xuống một "bản cập nhật" tiếp theo là nhắc nhở người dùng cấp cho họ các đặc quyền và quyền của Dịch vụ Trợ năng để cài đặt ứng dụng từ các nguồn không xác định của bên thứ ba.
"Các tác nhân độc hại coi phần mềm độc hại như một sản phẩm, với sự phát triển và phiên bản, làm việc chăm chỉ để phá vỡ các công nghệ an ninh và thu hút nhiều nạn nhân hơn", Richard Melick, Giám đốc chiến lược sản phẩm về bảo mật điểm cuối tại Zimperium, cho biết.
"Khi một phiên bản bị gián đoạn, hacker quay trở lại phát triển phiên bản tiếp theo, đặc biệt là khi kết quả đã có hiệu quả. Và điểm cuối di động là một mục tiêu cực kỳ sinh lợi cho những kẻ tấn công", Melick nói thêm.
Từ GriftHorse đến Dark Herring
Sự phát triển này diễn ra khi Zimperium zLabs tiết lộ chi tiết về một chiến dịch lạm dụng dịch vụ cao cấp khác dọc theo dòng GriftHorse đã tận dụng tới 470 ứng dụng vô hại để đăng ký người dùng vào các dịch vụ trả phí có giá 15 đô la mỗi tháng mà họ không hề hay biết.Gian lận thanh toán, cũng được phân loại là “fleeceware” ("bộ lông cừu"), được cho là đã ảnh hưởng đến hơn 105 triệu người dùng trên hơn 70 quốc gia, với hầu hết các nạn nhân ở Ai Cập, Phần Lan, Ấn Độ, Pakistan và Thụy Điển.
Trong khi phần lớn các ứng dụng trojan đã bị thanh lọc khỏi Play Store, chúng vẫn có sẵn trên các cửa hàng ứng dụng của bên thứ ba, một lần nữa nhấn mạnh những nguy hiểm tiềm ẩn khi tải các ứng dụng trong thiết bị di động.
"Ngoài hơn 470 ứng dụng Android, việc phân phối các ứng dụng đã được lên kế hoạch cực kỳ tốt, lan truyền ứng dụng của hacker trên nhiều danh mục khác nhau, mở rộng phạm vi nạn nhân tiềm năng", nhà nghiên cứu Aazim Yaswant của Zimperium cho biết. Bản thân các ứng dụng cũng hoạt động các tính năng như quảng cáo, làm người dùng tăng cảm giác an toàn".
Nguồn: TheHackingNews
Chỉnh sửa lần cuối: