Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng

Hoàng Linh| 20/07/2020 16:21
Theo dõi ICTVietnam trên

Các ứng dụng Android bị nhắm mục tiêu bởi trojan mới này bao gồm các ứng dụng ngân hàng, hẹn hò, phương tiện truyền thông xã hội và nhắn tin tức thời.

Một chủng phần mềm độc hại Android mới đã xuất hiện trong thế giới tội phạm, được trang bị các khả năng đánh cắp dữ liệu cho phép nhắm mục tiêu tới 337 ứng dụng Android.

 Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng - Ảnh 1.

Được đặt tên là BlackRock, mối đe dọa mới này xuất hiện lần đầuvào tháng 5 và được công ty bảo mật di động ThreatFabric phát hiện.

Các nhà nghiên cứu cho biết phần mềm độc hại nàydựa trên mã nguồn bị rò rỉ của một loại phần mềm độc hại khác (Xerxes) nhưng được cải tiến với các tính năng bổ sung, đặc biệt là về khả năng đánh cắp mật khẩu người dùng và thông tin thẻ tín dụng.

 Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng - Ảnh 2.

Tiến trình tiến hoá của BlackRock (Ảnh: ThreatFabric)

Mặc dù vậy, BlackRock vẫn hoạt động giống như hầu hết các trojan ngân hàng Android, ngoại trừ việc nhắm mục tiêu đến nhiều ứng dụng hơn hầu hết các phiên bản trước.

Trojan sẽ đánh cắp cả thông tin đăng nhập (tên người dùng và mật khẩu), nếu có, đồng thời nhắc nạn nhân nhập cácchi tiết thẻ thanh toán nếu cácứng dụng hỗ trợ cácgiao dịch tài chính.

Theo ThreatFabric, việc thu thập dữ liệu diễn ra thông qua một kỹ thuật gọi là "lớp phủ" (overlay), bao gồm phát hiện mộtngười dùng cố gắng tương tác với một ứng dụng hợp pháp và sẽhiển thị mộtcửa sổ giả đểthu thập chi tiết đăng nhập, dữ liệu thẻ của nạn nhân trước khi cho phép người dùng vào ứng dụng hợp pháp theodự định.

Trong một báo cáo được chia sẻ với ZDNet mớiđây, các nhà nghiên cứu của ThreatFabric chobiết phần lớn các lớp phủ BlackRock đều hướng đến các ứng dụng truyền thông/truyền thông xã hội/tài chính lừa đảo. Tuy nhiên, cũng có các lớp phủ bao gồm dữ liệu lừa đảo (phishing) từ các ứng dụng hẹn hò, tin tức, mua sắm, lối sống và năng suất. Danh sách đầy đủ các ứng dụng được nhắm mục tiêu có trong báo cáo BlackRock.

 Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng - Ảnh 3.

Các ứng dụng bị tấn công (Ảnh: ThreatFabric)

BlackRock không chỉ hiển thị các lớp phủ, dưới vỏ bọc, BlackRock còn hoạt động giống như hầu hết các phần mềm độc hại Android hiện nay là sử dụng các kỹ thuật cũ, đã thử và kiểm nghiệm.

Mộtkhi đã được cài đặt trên thiết bị, một ứng dụng độc hại bị nhiễm trojan BlackRock yêu cầu người dùng cấp quyền truy cập vào tính năng Trợ năng (Accessibility) của điện thoại.

Tính năng Trợ năng của Android là một trong những tính năng mạnh nhất của hệ điều hành, vì nó có thể được sử dụng để tự động hóa các tác vụ và thậm chí thực hiện các thao tác thay mặt người dùng.

BlackRock sử dụng tính năng Trợ năng để cấp quyền truy cập cho các quyền Android khác và sau đó sử dụng DPC Android (Device Policty Controller) (bộ điều khiển chính sách thiết bị, còn gọi là hồ sơ công việc) để cấp quyền truy cập quản trị viên cho thiết bị.

Sau đó, BlackRock sử dụng quyền truy cập này để hiển thị các lớp phủ độc hại, nhưng ThreatFabriccho biết trojan cũng có thể thực hiện các hoạt động xâm nhập khác, như:Chặn tin nhắn SMS; Thực hiện tấn công SMS; Liên hệ spam với SMS được xác định trước; Khởi động các ứng dụng cụ thể; Ghi nhật ký khóa phím (chức năng keylogger); Hiển thị cácthông báo đẩy tùy chỉnh; Phá hoại các ứng dụng chống virus di động và hơn thế nữa.

Hiện tại, BlackRock được phân phối ngụy trang dưới dạng các gói cập nhật Google giả được cung cấp trên các trang web của bên thứ ba và trojan chưa được phát hiện trên Play Store chính thức.

Tuy nhiên, các băng nhóm phần mềm độc hại Android thường tìm cách vượt qua quá trình đánh giá ứng dụng của Google trướcđây và mộtlúc nào đó, rất có thể chúng ta sẽ thấy BlackRock có mặt trong Cửa hàng Play.

Phần mềm độc hại Android mạnh mẽ ẩn nhiều năm, lây nhiễm hàng chục nghìn điện thoại thông minh

Mới đây một phần mềm độc hại Android khác cũng được phát hiện. Đó là phần mềm gián điệp Mandrake, lạm dụng các chức năng hợp pháp của Android truy cập mọi thứ trên thiết bị bị xâm nhập trong các cuộc tấn công có thể thu thập hầu hết mọi thông tin về người dùng.

 Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng - Ảnh 4.

Ảnh: abertoatedemadrugada.com/

Kẻ tấn công có thể lướt và thu thập tất cả dữ liệu trên thiết bị, đánh cắp thông tin đăng nhập tài khoản cho các tài khoản bao gồm các ứng dụng ngân hang, bí mật ghi lại các hoạt động trên màn hình, theo dõi vị trí GPS của người dùng, trong khi liên tục che dấu vết của chúng.

Các khả năng đầy đủ của Mandrake - được quan sát lànhắm mục tiêu người dùng trên khắp châu Âu và châu Mỹ - được chi tiết trong một bài báo của các nhà nghiên cứu an ninh mạng tại Bitdefender. Mandrake đã hoạt động từ năm 2016 và các nhà nghiên cứu trước đây đã nêu chi tiết cách thức hoạt động của phần mềm gián điệp nhắm mục tiêu cụ thể đến người dùng Australia - nhưng hiện tại nó đang nhắm mục tiêu vào các nạn nhân trên khắp thế giới.

"Mục tiêu cuối cùng của Mandrake là kiểm soát hoàn toàn thiết bị, cũng như xâmphạm tài khoản. Đây là một trong những phần mềm độc hại mạnh nhất của Android mà chúng tôi đã thấy cho đến bây giờ", Bogdan Botezatu, Giám đốc nghiên cứu và báo cáo về mối đe dọa tại Bitdefendertrao đổi với ZDNet.

 Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng - Ảnh 5.

Tiến trình của Mandrake

Không rõ chính xác mức độ lan rộng của các chiến dịch, nhưng phần mềm độc hại không bị spam như các chiến dịch khác - những kẻ tấn công dường như cẩn thận trongviệc chọn nạn nhân và một khi có mục tiêu giátrị, chúng sẽ tự điều khiển cáchoạt động của Mandrake để thao túng nhiều thông tin nhất từ người dùng nhất có thể.

"Chúng tôi ước tính số nạn nhân trong hàng chục ngàn làn sóng hiện tại và có thể hàng trăm ngàn trong suốt thời gian 4năm", công ty cho biết.

Và khi những kẻ tấn công đã có được tất cả thông tin mà chúng muốn từ nạn nhân, Mandrake có một khóa chuyển đổi để xóa phần mềm độc hại khỏi thiết bị.

Nhữngkẻ khai thác Mandrake đã nỗ lực để đảm bảo ẩndanh trong nhiều năm qua, thậm chí sẽ phát triển, tải lên và duy trì một số ứng dụng trên Google Play Store - dưới tên của một số nhà phát triển khác nhau. Một số trong số này được thiết kế để nhắm mục tiêu các quốc gia cụ thể. Các ứng dụng nàyhiện đã được gỡ bỏ.

Đểngười dùng hài lòng, các ứng dụng chủ yếu là quảng cáo miễn phí và các bản sửa lỗi được phân phối thường xuyên. Một số ứng dụng thậm chí có các trang truyền thông xã hội - tất cả đều được thiết kế để thuyết phục người dùng tải xuống và tin tưởng chúng.

Phần mềm độc hại tránh sự phát hiện của Google Play bằng cách sử dụng quy trình nhiều giai đoạn để ẩn payload (tải). Ứng dụng nàyđược cài đặt trên điện thoại và sau đó liên lạc với máy chủ để tải xuống mộttrình tải, sau đó cung cấp các khả năng bổ sung mà Mandrake cần để kiểm soát thiết bị.

"Phần mềm độc hại nàyhoạt động theo từng giai đoạn, trong đó giai đoạn đầu tiên là một ứng dụng không có hành vi độc hại, ngoài khả năng tải xuống và cài đặt payload giai đoạn hai khi được đườnghướng rõ ràng để làm như vậy. Có thể nói rằng ngườiđiều khiển phần mềm độc hại nàykhôngkích hoạt hành vi độc hại này khi chạy trong môi trường phân tích của Google", Botezatu giải thích.

Phần mềm độc hại lừa người dùng cung cấp cho nó các đặc quyền bổ sung trên thiết bị.

"Nó quy trình đơn giản là thông qua Thỏa thuận cấp phép người dùng cuối và đượcchấp nhận sau các yêu cầu, được cấp các quyền cực kỳ mạnh mẽ. Với các quyền đó, phần mềm độc hại sẽ kiểm soát hoàn toàn thiết bị và dữ liệu trên đó", Botezatu cho biết.

Mặc dù vẫn chưa rõ mục tiêu chính xác của Mandrake là gì và tại sao, nhưngnhững kẻ tấn công nhận thức được rằng nếu chúng đẩy thuyền ra quá xa, chiến dịch của chúng sẽ có nhiều khả năng bị phát hiện.

Các nhà nghiên cứu lưu ý phần mềm độc hại này đặc biệt tránh chạy trên các thiết bị ở các quốc gia thuộc Liên Xô cũ, Châu Phi và Trung Đông, theo đó một số quốc gia đầu tiên được miễn trừ khỏi các cuộc tấn công của Mandrake là Ukraine, Belarus, Kyrgyzstan và Uzbekistan.

Chiến dịch Mandrake có thể vẫn đang hoạt động và có lẽ chỉ còn là vấn đề thời gian trước khi những kẻ đứng sau cố gắng phân phối các ứng dụng mới để loại bỏ phần mềm độc hạinày.

Để giúp tránh trở thành nạn nhân của chiến dịch như vậy, người dùng nên biết chắcchắn công ty đã phát triển ứng dụng, thậm chí tránh tải xuống ứng dụng từ các nguồn mới, ngay cả khi họ đang ở trong cửa hàng tải xuống chính thức.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Bộ TT&TT bổ nhiệm một Phó Giáo sư giữ chức Phó Vụ trưởng Vụ HTQT
    PGS. TS. Hoàng Hữu Hạnh, Giám đốc Trung tâm đào tạo quốc tế kiêm phụ trách khoa Đa phương tiện, Học viện Công nghệ Bưu chính Viễn thông được bổ nhiệm giữ chức Phó Vụ trưởng Vụ HTQT, Bộ TT&TT.
  • Người dùng có thể đo tốc độ truy cập Internet Việt Nam tự động
    Hệ thống đo tốc độ truy cập Internet Việt Nam i-Speed vừa được nâng cấp, bao gồm: nâng cấp phiên bản mới (phiên bản 4.0, bản dành cho hệ điều hành Android) cho ứng dụng i-Speed và nâng cấp hệ thống thống kê, chia sẻ, cung cấp số liệu đánh giá tốc độ truy cập Internet Việt Nam.
  • Sự cố CrowdStrike ảnh hưởng đến 49 triệu người, gây thiệt hại 1,4 tỷ USD
    Thiệt hại ban đầu từ sự cố ngừng hoạt động công nghệ toàn cầu ngày 19/7 được các nhà phân tích thị trường ước tính lên tới hơn 1,4 tỷ USD, với hơn 49 triệu người bị ảnh hưởng.
  • Lưu trữ: người hùng thầm lặng của việc triển khai AI
    Nhiều doanh nghiệp (DN) chỉ tập trung vào sức mạnh tính toán và mạng khi triển khai các dự án trí tuệ nhân tạo (AI). Nhưng họ có thể đang bỏ qua bức tranh toàn cảnh về nhu cầu lưu trữ lớn của mình.
  • Lỗ hổng bảo mật của SAP đặt ra câu hỏi về sự vội vàng trong AI
    Công ty bảo mật đám mây Wiz đã công bố một báo cáo chi tiết về các lỗ hổng bảo mật của SAP, hiện đã được vá, đặt ra những câu hỏi đáng báo động về vai trò thứ yếu của trí tuệ nhân tạo (AI) trong phòng thủ an ninh mạng.
  • Tình cảm đặc biệt của Tổng Bí thư Nguyễn Phú Trọng dành cho "quê hương Kinh Bắc - Bắc Ninh"
    Trên cương vị người đứng đầu Đảng ta, Tổng Bí thư Nguyễn Phú Trọng đã 5 lần về thăm, làm việc với Bắc Ninh. Đối với vùng quê Kinh Bắc, Tổng Bí thư luôn dành một tình cảm đặc biệt. Trong nhiều bài phát biểu, nói chuyện, Tổng Bí thư Nguyễn Phú Trọng vẫn nhận mình là người Bắc Ninh. Những ý tứ "Bắc Ninh quê tôi", "Quan họ quê tôi"... cũng được Tổng Bí thư nhắc đến nhiều lần trong bài kết luận sâu sắc tại Hội nghị Văn hóa toàn quốc năm 2021.
  • Cha mẹ hiểu biết để bảo vệ trẻ em trên không gian mạng
    Các chủ đề bảo mật, an toàn mạng trên quy mô toàn cầu là một phần công việc và dịch vụ hàng ngày mà các công ty viễn thông cung cấp cho người dùng. Mặc dù Internet đại diện cho một nguồn khả năng vô tận, nhưng bên cạnh những mặt tích cực, các công nghệ mới cũng ẩn chứa rất nhiều rủi ro nếu chúng được sử dụng một cách liều lĩnh và chúng ta không nhận thức được những rủi ro này. Đó là lý do tại sao phải nâng cao nhận thức cho người dùng, đặc biệt là những người trẻ tuổi nhất biết bảo vệ bản thân trong môi trường ảo.
  • Tổng Bí thư Nguyễn Phú Trọng dành sự quan tâm đặc biệt cho việc xây dựng nền báo chí cách mạng
    Đồng chí Nguyễn Phú Trọng bắt đầu sự nghiệp bằng nghề báo. Ông trải qua các vị trí công tác ở Tạp chí Học tập, nay là Tạp chí Cộng sản từ cán bộ tư liệu, biên tập viên, Trưởng ban, Phó Tổng Biên tập đến Tổng Biên tập. Là một nhà báo, ông còn tham gia giảng dạy, đào tạo đội ngũ người làm báo Việt Nam tại Học viện Báo chí-Tuyên truyền.
  • 7 bài học rút ra từ sự cố CrowdStrike
    Sự cố CrowdStrike xảy ra mới đây là một lời cảnh tỉnh cho các công ty, chính phủ và ngành công nghệ. Và các đội ngũ CNTT có thể học được điều gì từ thảm họa cập nhật phần mềm đã gây chấn động này?
  • Nền tảng số Việt Nam hiện diện trên bản đồ AI thế giới
    Nền tảng nhận diện hình ảnh bằng trí tuệ nhân tạo VNPT SmartVision giành thắng lợi toàn diện tại đấu trường AI City Challenge 2024, uy tín thế giới và qua đây khẳng định mạnh mẽ cho trí tuệ Việt Nam đang vươn tầm thế giới.
Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng
POWERED BY ONECMS - A PRODUCT OF NEKO