WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Phát hiện Trojan ngân hàng trên Android đánh cắp thông tin người dùng
Các chuyên gia cảnh báo về một trojan ngân hàng Android mới đánh cắp thông tin đăng nhập của người dùng.
Các nhà nghiên cứu an ninh mạng vừa tiết lộ thông tin về một trojan ngân hàng trên Android mới chiếm đoạt thông tin đăng nhập và tin nhắn SMS của người dùng, tạo điều kiện cho các hoạt động gian lận nhắm mục tiêu đến các ngân hàng ở Tây Ban Nha, Đức, Ý, Bỉ và Hà Lan.
Trojan có tên gọi "TeaBot" (hoặc Anatsa), đang trong giai đoạn phát triển ban đầu, có vai trò trong các cuộc tấn công nhắm vào các ứng dụng tài chính từ cuối tháng 3/2021. Sau đó, chúng cũng tham gia vào một đợt lây nhiễm ở tuần đầu tiên của tháng 5 nhắm vào các ngân hàng Bỉ và Hà Lan. Những hoạt động đầu tiên của TeaBot xuất hiện từ tháng 1 năm nay.
Công ty an ninh mạng Cleafy, Ý cho biết: "Mục tiêu chính của TeaBot là đánh cắp thông tin đăng nhập và tin nhắn SMS của nạn nhân để tạo ra các kịch bản lừa đảo dựa trên danh sách các ngân hàng có sẵn. Một khi, TeaBot được cài đặt thành công vào thiết bị nạn nhân, những kẻ tấn công có thể chiếm live streaming của màn hình thiết bị (theo yêu cầu) và cũng có thể tương tác với nó thông qua Dịch vụ trợ năng".
Các ứng dụng Android giả mạo các dịch vụ ship hàng và phương tiện, TeaTV, VLC Media Player, DHL và UPS, hoạt động âm thầm không chỉ tải các gói tin second-stage mà còn "ép" nạn nhân cấp quyền dịch vụ trợ năng cho nó.
Trong liên kết cuối cùng của chuỗi tấn công, TeaBot khai thác quyền truy cập để chiếm được quyền tương tác thời gian thực với thiết bị, cho phép kẻ tấn công ghi lại thao tác bàn phím, chụp ảnh màn hình và chèn mã độc lên các trang đăng nhập của các ứng dụng ngân hàng để đánh cắp thông tin xác thực và thông tin thẻ tín dụng.
TeaBot còn có khả năng vo hiệu hoá Google Play Protect, chặn tin nhắn SMS và truy cập mã xác thực hai bước 2FA của Google Authenticator. Thông tin thu thập sẽ được trích xuất mỗi 10 giây đến máy chủ từ xa do kẻ tấn công điều khiển.
Phần mềm độc hại Android lợi dụng các dịch vụ trợ năng như một bước đệm thúc đẩy hành vi đánh cắp dữ liệu trong những tháng gần đây. Kể từ đầu năm, ít nhất ba họ phần mềm độc hại khác nhau, Oscorp, BRATA và FluBot, sử dụng tính năng này để chiếm quyền điều khiển thiết bị.
Thú vị ở chỗ, việc TeaBot sử dụng "mồi nhử" giống với Flubot là đóng giả các ứng dụng ship hàng vô hại có thể đánh lạc hướng phân quyền và tránh bị phát hiện.
Trojan có tên gọi "TeaBot" (hoặc Anatsa), đang trong giai đoạn phát triển ban đầu, có vai trò trong các cuộc tấn công nhắm vào các ứng dụng tài chính từ cuối tháng 3/2021. Sau đó, chúng cũng tham gia vào một đợt lây nhiễm ở tuần đầu tiên của tháng 5 nhắm vào các ngân hàng Bỉ và Hà Lan. Những hoạt động đầu tiên của TeaBot xuất hiện từ tháng 1 năm nay.
Công ty an ninh mạng Cleafy, Ý cho biết: "Mục tiêu chính của TeaBot là đánh cắp thông tin đăng nhập và tin nhắn SMS của nạn nhân để tạo ra các kịch bản lừa đảo dựa trên danh sách các ngân hàng có sẵn. Một khi, TeaBot được cài đặt thành công vào thiết bị nạn nhân, những kẻ tấn công có thể chiếm live streaming của màn hình thiết bị (theo yêu cầu) và cũng có thể tương tác với nó thông qua Dịch vụ trợ năng".
Các ứng dụng Android giả mạo các dịch vụ ship hàng và phương tiện, TeaTV, VLC Media Player, DHL và UPS, hoạt động âm thầm không chỉ tải các gói tin second-stage mà còn "ép" nạn nhân cấp quyền dịch vụ trợ năng cho nó.
Trong liên kết cuối cùng của chuỗi tấn công, TeaBot khai thác quyền truy cập để chiếm được quyền tương tác thời gian thực với thiết bị, cho phép kẻ tấn công ghi lại thao tác bàn phím, chụp ảnh màn hình và chèn mã độc lên các trang đăng nhập của các ứng dụng ngân hàng để đánh cắp thông tin xác thực và thông tin thẻ tín dụng.
TeaBot còn có khả năng vo hiệu hoá Google Play Protect, chặn tin nhắn SMS và truy cập mã xác thực hai bước 2FA của Google Authenticator. Thông tin thu thập sẽ được trích xuất mỗi 10 giây đến máy chủ từ xa do kẻ tấn công điều khiển.
Phần mềm độc hại Android lợi dụng các dịch vụ trợ năng như một bước đệm thúc đẩy hành vi đánh cắp dữ liệu trong những tháng gần đây. Kể từ đầu năm, ít nhất ba họ phần mềm độc hại khác nhau, Oscorp, BRATA và FluBot, sử dụng tính năng này để chiếm quyền điều khiển thiết bị.
Thú vị ở chỗ, việc TeaBot sử dụng "mồi nhử" giống với Flubot là đóng giả các ứng dụng ship hàng vô hại có thể đánh lạc hướng phân quyền và tránh bị phát hiện.
Theo The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: