-
09/04/2020
-
85
-
553 bài viết
Mã độc Fluhorse nhắm mục tiêu thẻ tín dụng và mã 2FA trên Android
Các nhà nghiên cứu an ninh mạng vừa công bố thông tin chi tiết về cách thức hoạt động của một loại mã độc trên hệ điều hành Android có tên Fluhorse.
Nhà nghiên cứu Axelle Apvrille cho biết: “Fluhorse cho thấy một sự thay đổi quan trọng khi mã độc này tích hợp trực tiếp các thành phần độc hại vào mã nguồn của mã nguồn Flutter.”
Lần đầu tiên, mã độc được phát hiện vào đầu tháng 5 năm 2023 với cách thức xâm nhập ban đầu là phishing. Fluhorse nhắm vào người dùng khu vực Đông Á, chủ yếu ở Đài Loan và Việt Nam, thông qua các ứng dụng giả mạo như ETC và VPBank Neo.
Mục tiêu cuối cùng là đánh cắp thông tin đăng nhập, thẻ tín dụng và mã xác thực hai yếu tố (2FA) được gửi qua tin nhắn SMS và gửi đến một máy chủ từ xa được kiểm soát bởi kẻ xấu.
Theo các phát hiện mới nhất từ Fortinet, các chuyên gia đã phân tích một mẫu Fluhorse được tải lên VirusTotal vào ngày 11 tháng 6 năm 2023. Kết quả cho thấy mã độc này đã phát triển và trở nên tinh vi hơn khi cố tình ẩn đi payload đã được mã hóa trong một trình đóng gói (packer).
Chuyên gia giải thích: "Quá trình giải mã được thực hiện ở mức độ cấp ngôn ngữ gốc (nhằm làm khó khả năng phân tích ngược) bằng cách sử dụng API mã hóa EVP của OpenSSL. Thuật toán mã hóa là AES-128-CBC và cách triển khai là sử dụng cùng một chuỗi mã hóa cứng cho khóa và vectơ khởi tạo (IV)."
Phần payload đã được giải mã là một tập tin ZIP, chứa một tệp thực thi Dalvik (.dex). Tệp này sau đó được cài đặt trên thiết bị để nghe lén tin nhắn đến (SMS) và trích xuất thông tin gửi đến máy chủ từ xa.
Để phòng ngừa rủi ro về an ninh mạng, người dùng Android và các hệ điều hành khác cần lưu ý:
Nhà nghiên cứu Axelle Apvrille cho biết: “Fluhorse cho thấy một sự thay đổi quan trọng khi mã độc này tích hợp trực tiếp các thành phần độc hại vào mã nguồn của mã nguồn Flutter.”
Lần đầu tiên, mã độc được phát hiện vào đầu tháng 5 năm 2023 với cách thức xâm nhập ban đầu là phishing. Fluhorse nhắm vào người dùng khu vực Đông Á, chủ yếu ở Đài Loan và Việt Nam, thông qua các ứng dụng giả mạo như ETC và VPBank Neo.
Mục tiêu cuối cùng là đánh cắp thông tin đăng nhập, thẻ tín dụng và mã xác thực hai yếu tố (2FA) được gửi qua tin nhắn SMS và gửi đến một máy chủ từ xa được kiểm soát bởi kẻ xấu.
Theo các phát hiện mới nhất từ Fortinet, các chuyên gia đã phân tích một mẫu Fluhorse được tải lên VirusTotal vào ngày 11 tháng 6 năm 2023. Kết quả cho thấy mã độc này đã phát triển và trở nên tinh vi hơn khi cố tình ẩn đi payload đã được mã hóa trong một trình đóng gói (packer).
Chuyên gia giải thích: "Quá trình giải mã được thực hiện ở mức độ cấp ngôn ngữ gốc (nhằm làm khó khả năng phân tích ngược) bằng cách sử dụng API mã hóa EVP của OpenSSL. Thuật toán mã hóa là AES-128-CBC và cách triển khai là sử dụng cùng một chuỗi mã hóa cứng cho khóa và vectơ khởi tạo (IV)."
Phần payload đã được giải mã là một tập tin ZIP, chứa một tệp thực thi Dalvik (.dex). Tệp này sau đó được cài đặt trên thiết bị để nghe lén tin nhắn đến (SMS) và trích xuất thông tin gửi đến máy chủ từ xa.
Để phòng ngừa rủi ro về an ninh mạng, người dùng Android và các hệ điều hành khác cần lưu ý:
- Tải ứng dụng từ nguồn đáng tin cậy như Google Play Store hoặc các cửa hàng ứng dụng chính thức khác, nơi đã được kiểm tra và xác minh về tính an toàn của ứng dụng.
- Đọc kỹ phần đánh giá của ứng dụng để có cái nhìn tổng quan về tính đáng tin cậy và hiệu suất của ứng dụng.
- Kiểm tra quyền truy cập mà ứng dụng yêu cầu. Nếu một ứng dụng yêu cầu quyền truy cập không liên quan đến chức năng của nó, hãy cân nhắc trước khi cài đặt.
- Đảm bảo hệ điều hành và các ứng dụng trên thiết bị luôn được cập nhật mới nhất, bao gồm các bản vá lỗi và bổ sung tính năng bảo mật.
- Sử dụng phần mềm diệt vi-rút giúp phát hiện và loại bỏ các ứng dụng độc hại.
Theo The Hacker News
Chỉnh sửa lần cuối: