Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Phát hiện Acecard – một trong những trojan Android nguy hiểm nhất
Các chuyên gia an ninh mạng vừa phát hiện mã độc Android nguy hiểm trong khi lần dấu một chiến dịch tấn công lớn. Trong chiến dịch, tin tặc sử dụng Acecard – dòng mã độc Android đã từng rất “hiền hòa”.
Lần đầu tiên được phát hiện vào tháng 2/2014, Acecard lúc đó là mã độc nghe lén đơn giản, lấy cắp thông tin của nạn nhân và gửi đến máy chủ C&C. Các chuyên gia an ninh mạng đã không chú ý đến trojan này vì kỹ thuật đơn giản của Acecard, và chỉ tập trung vào các dòng mã độc khác phức tạp hơn tại thời điểm phát hiện.
Theo thời gian, những kẻ đứng sau Acecard đã không từ bỏ “công cụ” của mình và tích hợp các tính năng cho mã độc. Giờ đây, từ một mã độc nghe lén “tầm thường”, Acecard đã trở thành một trong những trojan desktop phức tạp nhất.
Các cuộc tấn công sử dụng Acecard bắt đầu từ tháng 5/2015
Mặc dù chứa một lượng lớn các công cụ tấn công, Acecard chỉ được tin tặc sử dụng trong các cuộc tấn công thực tế từ tháng 5/2015. Trong lần đầu tiên phát hiện mã độc, Acecard đang nhắm tới các ngân hàng tại Úc.
Từ tháng 5 đến tháng 9/2015, các chuyên gia Kaspersky đã phát hiện hơn 6.000 cuộc tấn công sử dụng Acecard. Các cuộc tấn công chủ yếu nhắm tới người dùng Nga, Đức và Úc. Ngoài ra, nạn nhân cũng có cả các ngân hàng tại Pháp, Tây Ban Nha, Mỹ, Anh, Thổ Nhĩ Kỳ và Austria.
Các chuyên gia cho biết, kể từ những ngày đầu xuất hiện vào năm 2014, Acecard đã sở hữu “bộ sưu tập” lớn nhất các quảng cáo giả mạo trên nền tảng Android.
Cũng theo các chuyên gia, trojan hiện tại có thể giả mạo màn hình thanh toán của 32 hệ thống thanh toán ngân hàng (bao gồm cả PayPal), Google Play và Google Music; giả mạo giao diện thanh toán của 17 ngân hàng Nga với bước xác thực dựa trên SMS của các hãng này.
Tuy nhiên, đó vẫn chưa phải toàn bộ nguy cơ của Acecard. Tin tặc đứng sau mã độc cũng mở rộng khả năng của overlay (lớp phủ) của Acecard trên các mạng xã hội như Twitter, Facebook và Instagram, Gmail Android, và các ứng dụng IM như Skype, Viber và WhatsApp. Những overlay này không được sử dụng để lừa lấy thông tin tài chính, ngân hàng mà nhằm lấy cắp thông tin đăng nhập, sau đó chuyển tới các máy chủ C&C của Acecard. Với cách thức này, trojan phát tán chủ yếu qua email spam, lừa người dùng vào kho ứng dụng bên thứ ba. Trong hầu hết các trường hợp, trojan giả dạng là một phiên bản của Adobe Flash cho Android hoặc một ứng dụng phim người lớn có tên gọi PornoVideo.
Điều đáng nói là Adobe đã ngừng phát triển client Flash cho Android vào năm 2012, do đó, đã đến lúc người dùng nên ngừng sử dụng ứng dụng này.
Không dừng lại ở đó, vào ngày 28/12/2015, các chuyên gia đã phát hiện trojan được gói (pack) trong một game phát tán thông qua Play Store chính thống. Google đã loại bỏ ứng dụng này sau khi nhận được cảnh báo.
Tin tặc đứng sau Acecard đang cải tiến tính năng của mã độc
Một tính năng khác được bổ sung cho Acecard đó là lệnh “lock”, có vẻ như là sự hỗ trợ ban đầu cho việc chuyển đổi mã độc từ một trojan ngân hàng thành một mã độc tống tiền hoàn chỉnh.
Acecard không phải mã độc Android đầu tiên cố gắng kết hợp tính năng của trojan ngân hàng và mã độc tống tiền. Khả năng này đã được phát hiện trước đó trên mã độc Xbot.
Nhìn lại thời gian gần đây, có thể kể đến một số mã độc nguy hiểm trên hệ sinh thái Android như Acecard, Xbot, MazarBOT và Asacub. Để đảm bảo an toàn, người dùng chỉ cài đặt ứng dụng cần thiết, và từ nguồn Google Play Store.
Lần đầu tiên được phát hiện vào tháng 2/2014, Acecard lúc đó là mã độc nghe lén đơn giản, lấy cắp thông tin của nạn nhân và gửi đến máy chủ C&C. Các chuyên gia an ninh mạng đã không chú ý đến trojan này vì kỹ thuật đơn giản của Acecard, và chỉ tập trung vào các dòng mã độc khác phức tạp hơn tại thời điểm phát hiện.
Theo thời gian, những kẻ đứng sau Acecard đã không từ bỏ “công cụ” của mình và tích hợp các tính năng cho mã độc. Giờ đây, từ một mã độc nghe lén “tầm thường”, Acecard đã trở thành một trong những trojan desktop phức tạp nhất.
Các cuộc tấn công sử dụng Acecard bắt đầu từ tháng 5/2015
Mặc dù chứa một lượng lớn các công cụ tấn công, Acecard chỉ được tin tặc sử dụng trong các cuộc tấn công thực tế từ tháng 5/2015. Trong lần đầu tiên phát hiện mã độc, Acecard đang nhắm tới các ngân hàng tại Úc.
Từ tháng 5 đến tháng 9/2015, các chuyên gia Kaspersky đã phát hiện hơn 6.000 cuộc tấn công sử dụng Acecard. Các cuộc tấn công chủ yếu nhắm tới người dùng Nga, Đức và Úc. Ngoài ra, nạn nhân cũng có cả các ngân hàng tại Pháp, Tây Ban Nha, Mỹ, Anh, Thổ Nhĩ Kỳ và Austria.
Các chuyên gia cho biết, kể từ những ngày đầu xuất hiện vào năm 2014, Acecard đã sở hữu “bộ sưu tập” lớn nhất các quảng cáo giả mạo trên nền tảng Android.
Cũng theo các chuyên gia, trojan hiện tại có thể giả mạo màn hình thanh toán của 32 hệ thống thanh toán ngân hàng (bao gồm cả PayPal), Google Play và Google Music; giả mạo giao diện thanh toán của 17 ngân hàng Nga với bước xác thực dựa trên SMS của các hãng này.
Tuy nhiên, đó vẫn chưa phải toàn bộ nguy cơ của Acecard. Tin tặc đứng sau mã độc cũng mở rộng khả năng của overlay (lớp phủ) của Acecard trên các mạng xã hội như Twitter, Facebook và Instagram, Gmail Android, và các ứng dụng IM như Skype, Viber và WhatsApp. Những overlay này không được sử dụng để lừa lấy thông tin tài chính, ngân hàng mà nhằm lấy cắp thông tin đăng nhập, sau đó chuyển tới các máy chủ C&C của Acecard. Với cách thức này, trojan phát tán chủ yếu qua email spam, lừa người dùng vào kho ứng dụng bên thứ ba. Trong hầu hết các trường hợp, trojan giả dạng là một phiên bản của Adobe Flash cho Android hoặc một ứng dụng phim người lớn có tên gọi PornoVideo.
Điều đáng nói là Adobe đã ngừng phát triển client Flash cho Android vào năm 2012, do đó, đã đến lúc người dùng nên ngừng sử dụng ứng dụng này.
Không dừng lại ở đó, vào ngày 28/12/2015, các chuyên gia đã phát hiện trojan được gói (pack) trong một game phát tán thông qua Play Store chính thống. Google đã loại bỏ ứng dụng này sau khi nhận được cảnh báo.
Tin tặc đứng sau Acecard đang cải tiến tính năng của mã độc
Một tính năng khác được bổ sung cho Acecard đó là lệnh “lock”, có vẻ như là sự hỗ trợ ban đầu cho việc chuyển đổi mã độc từ một trojan ngân hàng thành một mã độc tống tiền hoàn chỉnh.
Acecard không phải mã độc Android đầu tiên cố gắng kết hợp tính năng của trojan ngân hàng và mã độc tống tiền. Khả năng này đã được phát hiện trước đó trên mã độc Xbot.
Nhìn lại thời gian gần đây, có thể kể đến một số mã độc nguy hiểm trên hệ sinh thái Android như Acecard, Xbot, MazarBOT và Asacub. Để đảm bảo an toàn, người dùng chỉ cài đặt ứng dụng cần thiết, và từ nguồn Google Play Store.
Nguồn: Softpedia