WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Trojan Android giả mạo Flash Player đánh cắp thông tin đăng nhập Google và tài khoản ngân hàng
Trojan Android mới bị phát hiện có tên Android/Spy.Agent.SI đang nhắm mục tiêu vào người dùng với mục đích đánh cắp thông tin đăng nhập Google và tài khoản ngân hàng của họ.
Các nhà nghiên cứu an ninh từ ESET cho hay trojan được phát tán thông qua các website quảng cáo Flash Player cho thiết bị Android. Adobe đã chính thức ngừng phát triển Flash client cho Android từ 2012, vì vậy đây rõ ràng là trò lừa đảo những người dùng cả tin cài đặt gói ứng dụng APK nguy hiểm trên hệ thống của họ.
Sau khi tải về, quá trình cài đặt bắt đầu, trojan sẽ yêu cầu quyền admin. Cho trojan quyền admin không chỉ gây khó khăn hơn trong việc loại bỏ trojan sau này mà còn cho phép trojan quyền truy cập cần thiết để thực hiện các cuộc tấn công không gây xáo trộn.
Sau khi quá trình cài đặt kết thúc, trojan sẽ thao tác giống như hầu hết các trojan ngân hàng hiện nay. Đầu tiên nó thu thập một danh sách thông tin về thiết bị của người dùng, sau đó gửi đến một máy chủ C&C.
Trong khi ở các phiên bản trước, trojan thực hiện tấn công thông qua dải mã hóa base64, thì sau này, trojan bắt đầu sử dụng các cách thức lừa đảo và mã hóa tinh vi hơn.
Trojan có thể bắt chước các trang đăng nhập của 20 ngân hàng
Một khi kết nối được thiết lập giữa các thiết bị bị lây nhiễm và C&C, máy chủ sẽ gửi một danh sách các ứng dụng cần lây nhiễm cùng với các trang đăng nhập giả mạo.
Các ứng dụng này được phủ trên các ứng dụng ban đầu bất cứ khi nào người dùng khởi động và tin tặc sẽ thu thập các thông tin đăng nhập rồi gửi đến máy chủ C&C. Do trojan này không mã hóa được thông tin bị đánh cắp, nên người dùng càng gặp nguy hiểm bởi những thông tin ngân hàng và Google đều được gửi ở dạng plaintext (văn bản thuần túy).
ESET cho hay tính đến thời điểm hiện tại trojan đã nhắm mục tiêu tới những ứng dụng tài chính dành cho các ngân hàng tại Úc, New Zealand, và Thổ Nhĩ Kỳ. Android/Spy.Agent.SI còn có khả năng chặn tin nhắn SMS, trong trường hợp ứng dụng bị giả mạo được bảo vệ bằng hình thức xác thực hai yếu tố (2FA).
ESET đưa ra hướng dẫn gỡ bỏ cài đặt trojan, cùng với một danh sách đầy đủ các ngân hàng và website là mục tiêu của trojan từ những địa chỉ Adobe Flash giả mạo gói tin Android bị phát hiện là có sẵn để tải về.
Nguồn: Softpedia
Các nhà nghiên cứu an ninh từ ESET cho hay trojan được phát tán thông qua các website quảng cáo Flash Player cho thiết bị Android. Adobe đã chính thức ngừng phát triển Flash client cho Android từ 2012, vì vậy đây rõ ràng là trò lừa đảo những người dùng cả tin cài đặt gói ứng dụng APK nguy hiểm trên hệ thống của họ.
Sau khi tải về, quá trình cài đặt bắt đầu, trojan sẽ yêu cầu quyền admin. Cho trojan quyền admin không chỉ gây khó khăn hơn trong việc loại bỏ trojan sau này mà còn cho phép trojan quyền truy cập cần thiết để thực hiện các cuộc tấn công không gây xáo trộn.
Sau khi quá trình cài đặt kết thúc, trojan sẽ thao tác giống như hầu hết các trojan ngân hàng hiện nay. Đầu tiên nó thu thập một danh sách thông tin về thiết bị của người dùng, sau đó gửi đến một máy chủ C&C.
Trong khi ở các phiên bản trước, trojan thực hiện tấn công thông qua dải mã hóa base64, thì sau này, trojan bắt đầu sử dụng các cách thức lừa đảo và mã hóa tinh vi hơn.
Trojan có thể bắt chước các trang đăng nhập của 20 ngân hàng
Một khi kết nối được thiết lập giữa các thiết bị bị lây nhiễm và C&C, máy chủ sẽ gửi một danh sách các ứng dụng cần lây nhiễm cùng với các trang đăng nhập giả mạo.
Các ứng dụng này được phủ trên các ứng dụng ban đầu bất cứ khi nào người dùng khởi động và tin tặc sẽ thu thập các thông tin đăng nhập rồi gửi đến máy chủ C&C. Do trojan này không mã hóa được thông tin bị đánh cắp, nên người dùng càng gặp nguy hiểm bởi những thông tin ngân hàng và Google đều được gửi ở dạng plaintext (văn bản thuần túy).
ESET cho hay tính đến thời điểm hiện tại trojan đã nhắm mục tiêu tới những ứng dụng tài chính dành cho các ngân hàng tại Úc, New Zealand, và Thổ Nhĩ Kỳ. Android/Spy.Agent.SI còn có khả năng chặn tin nhắn SMS, trong trường hợp ứng dụng bị giả mạo được bảo vệ bằng hình thức xác thực hai yếu tố (2FA).
ESET đưa ra hướng dẫn gỡ bỏ cài đặt trojan, cùng với một danh sách đầy đủ các ngân hàng và website là mục tiêu của trojan từ những địa chỉ Adobe Flash giả mạo gói tin Android bị phát hiện là có sẵn để tải về.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: