Trojan ngân hàng Android Zanubis giả mạo là ứng dụng của chính phủ Peru nhắm mục tiêu người dùng

Trojan ngân hàng Android Zanubis giả mạo là ứng dụng của chính phủ Peru nhắm mục tiêu người dùng

Một trojan ngân hàng Android mới nổi có tên Zanubis hiện đang giả dạng một ứng dụng của chính phủ Peru để lừa những người dùng không nghi ngờ cài đặt phần mềm độc hại.

Các chuyên gia bảo mật của Kaspersky cho biết trong một phân tích được công bố vào tuần trước: “Con đường lây nhiễm chính của Zanubis là thông qua việc mạo danh các ứng dụng Android hợp pháp của Peru và sau đó lừa người dùng kích hoạt quyền Trợ năng để có toàn quyền kiểm soát thiết bị”.

Zanubis, được ghi nhận ban đầu vào tháng 8 năm 2022, là phần bổ sung mới nhất cho một danh sách dài phần mềm độc hại dành cho ngân hàng Android nhắm mục tiêu vào khu vực Mỹ Latinh (LATAM). Mục tiêu bao gồm hơn 40 ngân hàng và tổ chức tài chính ở Peru.

Nó chủ yếu được biết đến với việc lạm dụng quyền truy cập trên thiết bị bị nhiễm để hiển thị màn hình lớp phủ giả trên các ứng dụng được nhắm mục tiêu nhằm đánh cắp thông tin xác thực. nó cũng có khả năng thu thập dữ liệu liên hệ, danh sách các ứng dụng đã cài đặt và siêu dữ liệu hệ thống.

Các chuyên gia bảo mật của Kaspersky cho biết họ đã quan sát thấy các mẫu Zanubis gần đây trong tự nhiên vào tháng 4 năm 2023, hoạt động dưới vỏ bọc của cơ quan thuế và hải quan Peru có tên Superintendencia Nacional de Aduanas y de Administración Tributaria (SUNAT).

Việc cài đặt ứng dụng và cấp cho ứng dụng quyền truy cập cho phép ứng dụng chạy ở chế độ nền và tải trang web SUNAT chính hãng bằng cách sử dụng WebView của Android để tạo ra lớp vỏ hợp pháp. Nó duy trì các kết nối đến máy chủ do tác nhân điều khiển để nhận các lệnh ở giai đoạn tiếp theo qua WebSockets.

Các quyền được tận dụng thêm để theo dõi các ứng dụng đang được mở trên thiết bị và so sánh chúng với danh sách các ứng dụng được nhắm mục tiêu. Nếu một ứng dụng trong danh sách được khởi chạy, Zanubis sẽ tiến hành ghi lại các lần gõ phím hoặc ghi lại màn hình để thu thập dữ liệu nhạy cảm.

Điều khiến Zanubis trở nên khác biệt và khiến nó trở nên mạnh mẽ hơn là khả năng giả vờ là một bản cập nhật hệ điều hành Android, khiến thiết bị không thể sử dụng được một cách hiệu quả.

Các chuyên gia bảo mật của Kaspersky lưu ý: “Khi 'bản cập nhật' chạy, điện thoại vẫn không thể sử dụng được đến mức không thể khóa hoặc mở khóa vì phần mềm độc hại sẽ theo dõi những nỗ lực đó và chặn chúng”.

Sự phát triển này diễn ra khi AT&T Cybersecurity trình bày chi tiết về một trojan truy cập từ xa (RAT) dựa trên Android khác có tên là MMRat, có khả năng ghi lại nội dung đầu vào và màn hình của người dùng cũng như lệnh và kiểm soát.

Công ty cho biết: “RAT là một lựa chọn phổ biến được tin tặc sử dụng do có nhiều khả năng từ trinh sát và lọc dữ liệu cho đến khả năng tồn tại lâu dài”.

Hương – Theo TheHackerNews