Phát hiện phần mềm mã độc Android mới đánh cắp mật khẩu các ứng dụng phi ngân hàng

[Gấu]

Các chuyên gia an ninh mạng vừa phát hiện một loại phần mềm độc hại ngân hàng mới, không chỉ nhắm tới các ứng dụng ngân hàng mà còn đánh cắp dữ liệu và thông tin đăng nhập từ các ứng dụng mạng xã hội, hẹn hò và ứng dụng tiền điện tử. Tổng cộng có 335 ứng dụng Android phi tài chính nằm trong danh sách mục tiêu của malware này.

Malware mới này được các chuyên gia của công ty ThreatFabric phát hiện vào tháng 5/2020 và đặt tên là BlackRock. Mã nguồn của nó được phát triển từ mã nguồn bị rò rỉ của malware Xerxes. Đây cũng là một chủng ngân hàng LokiBot được phát hiện lần đầu tiên trong năm 2016-2017.

BlackRock có thể đánh cắp thông tin người dùng, chặn tin nhắn SMS, chiếm quyền điều khiển thông báo và thậm chí có thể ghi lại các lần gõ phím từ các ứng dụng, ngoài khả năng ẩn giấu tránh bị các phần mềm diệt virus phát hiện.

ThreatFabric cho biết: "BlackRock không chỉ thay đổi mã nguồn mà còn tăng mục tiêu tấn công và thời gian tấn công cũng kéo dài hơn. Danh sách tấn công bao gồm nhiều ứng dụng xã hội, kết nối mạng, ứng dụng giao tiếp và hẹn hò chưa từng có trong danh sách mục tiêu của các Trojan ngân hàng hiện có khác."

BlackRock đã thu thập dữ liệu bằng cách khai thác các dịch vụ Accessibility Service của Android. Nó sẽ yêu cầu được cấp quyền người dùng bằng cách giả mạo giao diện Google Update khi khởi chạy lần đầu trên thiết thị, như ảnh chụp màn hình được chia sẻ ở trên.
Sau đó, malware này tiếp tục nâng cao quyền và thiết lập kết nối tới máy chủ C&C (command-and-control) từ xa, để thực hiện hành vi độc hại bằng cách inject (chèn) các overlay lên màn hình đăng nhập và thanh toán trên ứng dụng bị tấn công.
Bằng chứng về các overlay đánh cắp thông tin xác thực đã được tìm thấy trên các ứng dụng ngân hàng ở Châu Âu, Úc, Mỹ và Canada, cũng như các ứng dụng mua sắm, truyền thông và kinh doanh.

Danh sách mục tiêu của mã độc này là các ứng dụng nổi tiếng như Tinder, TikTok, PlayStation, Facebook, Instagram, Skype, Snapchat, Twitter, VK, Netflix, Uber,..
Đây không phải lần đầu mã độc mobie khai thác tính năng truy cập của Android.
Đầu năm nay, các nhà nghiên cứu IBM X-Force đã công bố chi tiết về một chiến dịch TrickBot mới, được gọi là TrickMo, nhắm mục tiêu người dùng Đức với phần mềm độc hại khai thác tính năng truy cập để chặn mật khẩu một lần (OTP), xác thực TAN (mTAN) và mã xác thực PushTAN …
Sau đó vào tháng Tư, Cybereason đã phát hiện ra một loại phần mềm độc hại ngân hàng khác là EventBot sử dụng tính năng tương tự để lọc dữ liệu nhạy cảm khỏi các ứng dụng tài chính, đọc tin nhắn SMS của người dùng và chiếm đoạt mã xác thực hai yếu tố dựa trên SMS ...
Điều làm cho chiến dịch của BlackRock trở nên khác biệt là số lượng lớn các ứng dụng mục tiêu, vượt xa các ứng dụng ngân hàng di động thường bị nhắm tới để khai thác.

Nguồn Thehackernews.com​