Phát hiện mã độc mới trên Android đánh cắp tài khoản ngân hàng, thông tin cá nhân
Một loại mã độc mới trên Android được phát hiện đọc các dữ liệu nhạy cảm của các ứng dụng tài chính, tin nhắn SMS của người dùng và đánh cắp mã xác thực hai bước.
Mã độc được các nhà nghiên cứu Cyberory gọi là “EventBot”, nó nhắm tới hơn 200 ứng dụng tài chính khác nhau bao gồm ngân hàng, dịch vụ chuyển tiền, ví điện tử như Paypal Business, Revolut, Barclays, CapitalOne, HSBC, Santander, TransferWise, và CoinBase.
Các nhà nghiên cứu cho biết: “EventBot có khả năng trở thành phần mềm độc hại di động lớn tiếp theo vì nó cải tiến liên tục, lợi dụng các chức năng quan trọng của hệ điều hành và nhắm vào các ứng dụng tài chính”.
Chiến dịch của mã độc lần đầu tiên được xác định vào tháng 3/2020 bằng cách giả mạo các ứng dụng tin cậy, nổi tiếng như Adobe Flash, Microsoft Word trên các store APK và các trang web lừa đảo. Khi được cài đặt, mã độc này yêu cầu rất nhiều quyền trên thiết bị như: thiết lập, đọc bộ nhớ ngoài, gửi nhận tin nhắn, chạy chế độ background, tự chạy ứng dụng sau khi hệ thống khởi động.
Một vài icon mã độc sử dụng để giả mạo các ứng dụng nổi tiếng:
Các quyền mã độc yêu cầu có thể thấy được trong file manifest:
Nếu người dùng cấp quyền truy cập, Eventbot hoạt động như một mã độc keylogger và có thể biết được các ứng dụng mới được cài vào máy, các thông tin, nội dung cửa sổ mới được mở, lấy mã PIN mở khóa màn hình… Tất cả các thông tin thu thập được sẽ được mã hóa và chuyển về máy chủ của hacker.
Mã độc có khả năng phân tích SMS để vượt qua yếu tố xác thực 2 bước và truy cập vào ví điện tử của nạn nhân để đánh cắp tiền từ tài khoản ngân hàng.
Hiện tại mã độc chưa hoạt động trên Google Play Store, nhưng đây cũng là lời nhắc nhở người dùng không nên tải các ứng dụng từ nguồn không đáng tin cậy, tìm hiểu thật kỹ các ứng dụng trước khi cài đặt.
Mã độc được các nhà nghiên cứu Cyberory gọi là “EventBot”, nó nhắm tới hơn 200 ứng dụng tài chính khác nhau bao gồm ngân hàng, dịch vụ chuyển tiền, ví điện tử như Paypal Business, Revolut, Barclays, CapitalOne, HSBC, Santander, TransferWise, và CoinBase.
Các nhà nghiên cứu cho biết: “EventBot có khả năng trở thành phần mềm độc hại di động lớn tiếp theo vì nó cải tiến liên tục, lợi dụng các chức năng quan trọng của hệ điều hành và nhắm vào các ứng dụng tài chính”.
Chiến dịch của mã độc lần đầu tiên được xác định vào tháng 3/2020 bằng cách giả mạo các ứng dụng tin cậy, nổi tiếng như Adobe Flash, Microsoft Word trên các store APK và các trang web lừa đảo. Khi được cài đặt, mã độc này yêu cầu rất nhiều quyền trên thiết bị như: thiết lập, đọc bộ nhớ ngoài, gửi nhận tin nhắn, chạy chế độ background, tự chạy ứng dụng sau khi hệ thống khởi động.
Một vài icon mã độc sử dụng để giả mạo các ứng dụng nổi tiếng:
Các quyền mã độc yêu cầu có thể thấy được trong file manifest:
Nếu người dùng cấp quyền truy cập, Eventbot hoạt động như một mã độc keylogger và có thể biết được các ứng dụng mới được cài vào máy, các thông tin, nội dung cửa sổ mới được mở, lấy mã PIN mở khóa màn hình… Tất cả các thông tin thu thập được sẽ được mã hóa và chuyển về máy chủ của hacker.
Mã độc có khả năng phân tích SMS để vượt qua yếu tố xác thực 2 bước và truy cập vào ví điện tử của nạn nhân để đánh cắp tiền từ tài khoản ngân hàng.
Hiện tại mã độc chưa hoạt động trên Google Play Store, nhưng đây cũng là lời nhắc nhở người dùng không nên tải các ứng dụng từ nguồn không đáng tin cậy, tìm hiểu thật kỹ các ứng dụng trước khi cài đặt.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: