Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng

An toàn thông tin - Ngày đăng : 16:21, 20/07/2020

Các ứng dụng Android bị nhắm mục tiêu bởi trojan mới này bao gồm các ứng dụng ngân hàng, hẹn hò, phương tiện truyền thông xã hội và nhắn tin tức thời.

Một chủng phần mềm độc hại Android mới đã xuất hiện trong thế giới tội phạm, được trang bị các khả năng đánh cắp dữ liệu cho phép nhắm mục tiêu tới 337 ứng dụng Android.

 Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng - Ảnh 1.

Được đặt tên là BlackRock, mối đe dọa mới này xuất hiện lần đầuvào tháng 5 và được công ty bảo mật di động ThreatFabric phát hiện.

Các nhà nghiên cứu cho biết phần mềm độc hại nàydựa trên mã nguồn bị rò rỉ của một loại phần mềm độc hại khác (Xerxes) nhưng được cải tiến với các tính năng bổ sung, đặc biệt là về khả năng đánh cắp mật khẩu người dùng và thông tin thẻ tín dụng.

 Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng - Ảnh 2.

Tiến trình tiến hoá của BlackRock (Ảnh: ThreatFabric)

Mặc dù vậy, BlackRock vẫn hoạt động giống như hầu hết các trojan ngân hàng Android, ngoại trừ việc nhắm mục tiêu đến nhiều ứng dụng hơn hầu hết các phiên bản trước.

Trojan sẽ đánh cắp cả thông tin đăng nhập (tên người dùng và mật khẩu), nếu có, đồng thời nhắc nạn nhân nhập cácchi tiết thẻ thanh toán nếu cácứng dụng hỗ trợ cácgiao dịch tài chính.

Theo ThreatFabric, việc thu thập dữ liệu diễn ra thông qua một kỹ thuật gọi là "lớp phủ" (overlay), bao gồm phát hiện mộtngười dùng cố gắng tương tác với một ứng dụng hợp pháp và sẽhiển thị mộtcửa sổ giả đểthu thập chi tiết đăng nhập, dữ liệu thẻ của nạn nhân trước khi cho phép người dùng vào ứng dụng hợp pháp theodự định.

Trong một báo cáo được chia sẻ với ZDNet mớiđây, các nhà nghiên cứu của ThreatFabric chobiết phần lớn các lớp phủ BlackRock đều hướng đến các ứng dụng truyền thông/truyền thông xã hội/tài chính lừa đảo. Tuy nhiên, cũng có các lớp phủ bao gồm dữ liệu lừa đảo (phishing) từ các ứng dụng hẹn hò, tin tức, mua sắm, lối sống và năng suất. Danh sách đầy đủ các ứng dụng được nhắm mục tiêu có trong báo cáo BlackRock.

 Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng - Ảnh 3.

Các ứng dụng bị tấn công (Ảnh: ThreatFabric)

BlackRock không chỉ hiển thị các lớp phủ, dưới vỏ bọc, BlackRock còn hoạt động giống như hầu hết các phần mềm độc hại Android hiện nay là sử dụng các kỹ thuật cũ, đã thử và kiểm nghiệm.

Mộtkhi đã được cài đặt trên thiết bị, một ứng dụng độc hại bị nhiễm trojan BlackRock yêu cầu người dùng cấp quyền truy cập vào tính năng Trợ năng (Accessibility) của điện thoại.

Tính năng Trợ năng của Android là một trong những tính năng mạnh nhất của hệ điều hành, vì nó có thể được sử dụng để tự động hóa các tác vụ và thậm chí thực hiện các thao tác thay mặt người dùng.

BlackRock sử dụng tính năng Trợ năng để cấp quyền truy cập cho các quyền Android khác và sau đó sử dụng DPC Android (Device Policty Controller) (bộ điều khiển chính sách thiết bị, còn gọi là hồ sơ công việc) để cấp quyền truy cập quản trị viên cho thiết bị.

Sau đó, BlackRock sử dụng quyền truy cập này để hiển thị các lớp phủ độc hại, nhưng ThreatFabriccho biết trojan cũng có thể thực hiện các hoạt động xâm nhập khác, như:Chặn tin nhắn SMS; Thực hiện tấn công SMS; Liên hệ spam với SMS được xác định trước; Khởi động các ứng dụng cụ thể; Ghi nhật ký khóa phím (chức năng keylogger); Hiển thị cácthông báo đẩy tùy chỉnh; Phá hoại các ứng dụng chống virus di động và hơn thế nữa.

Hiện tại, BlackRock được phân phối ngụy trang dưới dạng các gói cập nhật Google giả được cung cấp trên các trang web của bên thứ ba và trojan chưa được phát hiện trên Play Store chính thức.

Tuy nhiên, các băng nhóm phần mềm độc hại Android thường tìm cách vượt qua quá trình đánh giá ứng dụng của Google trướcđây và mộtlúc nào đó, rất có thể chúng ta sẽ thấy BlackRock có mặt trong Cửa hàng Play.

Phần mềm độc hại Android mạnh mẽ ẩn nhiều năm, lây nhiễm hàng chục nghìn điện thoại thông minh

Mới đây một phần mềm độc hại Android khác cũng được phát hiện. Đó là phần mềm gián điệp Mandrake, lạm dụng các chức năng hợp pháp của Android truy cập mọi thứ trên thiết bị bị xâm nhập trong các cuộc tấn công có thể thu thập hầu hết mọi thông tin về người dùng.

 Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng - Ảnh 4.

Ảnh: abertoatedemadrugada.com/

Kẻ tấn công có thể lướt và thu thập tất cả dữ liệu trên thiết bị, đánh cắp thông tin đăng nhập tài khoản cho các tài khoản bao gồm các ứng dụng ngân hang, bí mật ghi lại các hoạt động trên màn hình, theo dõi vị trí GPS của người dùng, trong khi liên tục che dấu vết của chúng.

Các khả năng đầy đủ của Mandrake - được quan sát lànhắm mục tiêu người dùng trên khắp châu Âu và châu Mỹ - được chi tiết trong một bài báo của các nhà nghiên cứu an ninh mạng tại Bitdefender. Mandrake đã hoạt động từ năm 2016 và các nhà nghiên cứu trước đây đã nêu chi tiết cách thức hoạt động của phần mềm gián điệp nhắm mục tiêu cụ thể đến người dùng Australia - nhưng hiện tại nó đang nhắm mục tiêu vào các nạn nhân trên khắp thế giới.

"Mục tiêu cuối cùng của Mandrake là kiểm soát hoàn toàn thiết bị, cũng như xâmphạm tài khoản. Đây là một trong những phần mềm độc hại mạnh nhất của Android mà chúng tôi đã thấy cho đến bây giờ", Bogdan Botezatu, Giám đốc nghiên cứu và báo cáo về mối đe dọa tại Bitdefendertrao đổi với ZDNet.

 Phần mềm độc hại Android mới đánh cắp mật khẩu, dữ liệu thẻ từ 337 ứng dụng - Ảnh 5.

Tiến trình của Mandrake

Không rõ chính xác mức độ lan rộng của các chiến dịch, nhưng phần mềm độc hại không bị spam như các chiến dịch khác - những kẻ tấn công dường như cẩn thận trongviệc chọn nạn nhân và một khi có mục tiêu giátrị, chúng sẽ tự điều khiển cáchoạt động của Mandrake để thao túng nhiều thông tin nhất từ người dùng nhất có thể.

"Chúng tôi ước tính số nạn nhân trong hàng chục ngàn làn sóng hiện tại và có thể hàng trăm ngàn trong suốt thời gian 4năm", công ty cho biết.

Và khi những kẻ tấn công đã có được tất cả thông tin mà chúng muốn từ nạn nhân, Mandrake có một khóa chuyển đổi để xóa phần mềm độc hại khỏi thiết bị.

Nhữngkẻ khai thác Mandrake đã nỗ lực để đảm bảo ẩndanh trong nhiều năm qua, thậm chí sẽ phát triển, tải lên và duy trì một số ứng dụng trên Google Play Store - dưới tên của một số nhà phát triển khác nhau. Một số trong số này được thiết kế để nhắm mục tiêu các quốc gia cụ thể. Các ứng dụng nàyhiện đã được gỡ bỏ.

Đểngười dùng hài lòng, các ứng dụng chủ yếu là quảng cáo miễn phí và các bản sửa lỗi được phân phối thường xuyên. Một số ứng dụng thậm chí có các trang truyền thông xã hội - tất cả đều được thiết kế để thuyết phục người dùng tải xuống và tin tưởng chúng.

Phần mềm độc hại tránh sự phát hiện của Google Play bằng cách sử dụng quy trình nhiều giai đoạn để ẩn payload (tải). Ứng dụng nàyđược cài đặt trên điện thoại và sau đó liên lạc với máy chủ để tải xuống mộttrình tải, sau đó cung cấp các khả năng bổ sung mà Mandrake cần để kiểm soát thiết bị.

"Phần mềm độc hại nàyhoạt động theo từng giai đoạn, trong đó giai đoạn đầu tiên là một ứng dụng không có hành vi độc hại, ngoài khả năng tải xuống và cài đặt payload giai đoạn hai khi được đườnghướng rõ ràng để làm như vậy. Có thể nói rằng ngườiđiều khiển phần mềm độc hại nàykhôngkích hoạt hành vi độc hại này khi chạy trong môi trường phân tích của Google", Botezatu giải thích.

Phần mềm độc hại lừa người dùng cung cấp cho nó các đặc quyền bổ sung trên thiết bị.

"Nó quy trình đơn giản là thông qua Thỏa thuận cấp phép người dùng cuối và đượcchấp nhận sau các yêu cầu, được cấp các quyền cực kỳ mạnh mẽ. Với các quyền đó, phần mềm độc hại sẽ kiểm soát hoàn toàn thiết bị và dữ liệu trên đó", Botezatu cho biết.

Mặc dù vẫn chưa rõ mục tiêu chính xác của Mandrake là gì và tại sao, nhưngnhững kẻ tấn công nhận thức được rằng nếu chúng đẩy thuyền ra quá xa, chiến dịch của chúng sẽ có nhiều khả năng bị phát hiện.

Các nhà nghiên cứu lưu ý phần mềm độc hại này đặc biệt tránh chạy trên các thiết bị ở các quốc gia thuộc Liên Xô cũ, Châu Phi và Trung Đông, theo đó một số quốc gia đầu tiên được miễn trừ khỏi các cuộc tấn công của Mandrake là Ukraine, Belarus, Kyrgyzstan và Uzbekistan.

Chiến dịch Mandrake có thể vẫn đang hoạt động và có lẽ chỉ còn là vấn đề thời gian trước khi những kẻ đứng sau cố gắng phân phối các ứng dụng mới để loại bỏ phần mềm độc hạinày.

Để giúp tránh trở thành nạn nhân của chiến dịch như vậy, người dùng nên biết chắcchắn công ty đã phát triển ứng dụng, thậm chí tránh tải xuống ứng dụng từ các nguồn mới, ngay cả khi họ đang ở trong cửa hàng tải xuống chính thức.

Hoàng Linh