Trojan TrickMo Android khai thác dịch vụ trợ năng để gian lận tấn công ứng dụng ngân hàng trên thiết bị
Trojan TrickMo Android khai thác dịch vụ trợ năng để gian lận tấn công ứng dụng ngân hàng trên thiết bị
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một biến thể mới của trojan ngân hàng Android có tên là TrickMo, tích hợp nhiều khả năng mới để tránh phân tích và hiển thị màn hình đăng nhập giả để đánh cắp thông tin đăng nhập ngân hàng của nạn nhân.
"Các cơ chế bao gồm sử dụng các tệp ZIP bị lỗi kết hợp với JSONPacker", các nhà nghiên cứu bảo mật của Cleafy là Michele Roviello và Alessandro Strino cho biết. "Ngoài ra, ứng dụng được cài đặt thông qua một ứng dụng dropper có cùng cơ chế chống phân tích".
"Các tính năng này được thiết kế để tránh bị phát hiện và cản trở nỗ lực phân tích và giảm thiểu phần mềm độc hại của các chuyên gia an ninh mạng".
TrickMo, lần đầu tiên bị CERT-Bund phát hiện vào tháng 9 năm 2019, có tiền sử nhắm mục tiêu vào các thiết bị Android, đặc biệt là nhắm mục tiêu vào người dùng ở Đức để đánh cắp mật khẩu một lần (OTP) và các mã xác thực hai yếu tố (2FA) khác để tạo điều kiện cho hành vi gian lận tài chính.
Phần mềm độc hại tập trung vào thiết bị di động được đánh giá là tác phẩm của băng nhóm tội phạm điện tử TrickBot hiện đã không còn tồn tại, theo thời gian liên tục cải thiện các tính năng che giấu và chống phân tích để ẩn mình.
Các tính năng đáng chú ý là khả năng ghi lại hoạt động trên màn hình, ghi lại các lần nhấn phím, thu thập ảnh và tin nhắn SMS, điều khiển từ xa thiết bị bị nhiễm để thực hiện gian lận trên thiết bị (ODF) và lạm dụng API dịch vụ trợ năng của Android để thực hiện các cuộc tấn công phủ HTML cũng như thực hiện các cú nhấp và cử chỉ trên thiết bị.
Ứng dụng dropper độc hại do công ty an ninh mạng của Ý phát hiện ngụy trang thành trình duyệt web Google Chrome, khi khởi chạy sau khi cài đặt, sẽ thúc giục nạn nhân cập nhật Dịch vụ Google Play bằng cách nhấp vào nút Xác nhận.
Nếu người dùng tiến hành cập nhật, tệp APK chứa tải trọng TrickMo sẽ được tải xuống thiết bị dưới dạng "Dịch vụ Google", sau đó người dùng được yêu cầu bật dịch vụ trợ năng cho ứng dụng mới.
Các nhà nghiên cứu cho biết "Các dịch vụ trợ năng được thiết kế để hỗ trợ người dùng khuyết tật bằng cách cung cấp các cách thay thế để tương tác với thiết bị của họ". "Tuy nhiên, khi bị các ứng dụng độc hại như TrickMo khai thác, các dịch vụ này có thể cấp quyền kiểm soát rộng rãi đối với thiết bị".
"Quyền nâng cao này cho phép TrickMo thực hiện nhiều hành động độc hại khác nhau, chẳng hạn như chặn tin nhắn SMS, xử lý thông báo để chặn hoặc ẩn mã xác thực và thực hiện các cuộc tấn công phủ HTML để đánh cắp thông tin đăng nhập của người dùng. Ngoài ra, phần mềm độc hại có thể bỏ qua các phím bảo vệ và tự động chấp nhận quyền, cho phép nó tích hợp liền mạch vào các hoạt động của thiết bị".
Hơn nữa, việc lạm dụng các dịch vụ trợ năng cho phép phần mềm độc hại vô hiệu hóa các tính năng bảo mật quan trọng và cập nhật hệ thống, tự động cấp quyền theo ý muốn và ngăn chặn việc gỡ cài đặt một số ứng dụng nhất định.
Phân tích của Cleafy cũng phát hiện ra các cấu hình sai trong máy chủ chỉ huy và kiểm soát (C2) khiến có thể truy cập vào dữ liệu nhạy cảm trị giá 12 GB được trích xuất từ các thiết bị, bao gồm thông tin đăng nhập và hình ảnh, mà không cần bất kỳ xác thực nào.
Máy chủ C2 cũng lưu trữ các tệp HTML được sử dụng trong các cuộc tấn công phủ. Các tệp này bao gồm các trang đăng nhập giả cho nhiều dịch vụ khác nhau, bao gồm các ngân hàng như ATB Mobile và Alpha Bank và các nền tảng tiền điện tử như Binance.
Lỗ hổng bảo mật không chỉ làm nổi bật lỗi bảo mật hoạt động (OPSEC) của các tác nhân đe dọa mà còn khiến dữ liệu của nạn nhân có nguy cơ bị các tác nhân đe dọa khác khai thác.
Lượng thông tin khổng lồ bị lộ từ cơ sở hạ tầng C2 của TrickMo có thể bị lợi dụng để thực hiện hành vi trộm cắp danh tính, xâm nhập vào nhiều tài khoản trực tuyến, thực hiện chuyển tiền trái phép và thậm chí thực hiện các giao dịch mua gian lận. Tệ hơn nữa, kẻ tấn công có thể chiếm đoạt tài khoản và khóa nạn nhân bằng cách đặt lại mật khẩu của họ.
"Bằng cách sử dụng thông tin cá nhân và hình ảnh, kẻ tấn công có thể tạo ra các thông điệp thuyết phục để lừa nạn nhân tiết lộ thêm thông tin hoặc thực hiện các hành động độc hại", các nhà nghiên cứu lưu ý.
"Việc khai thác dữ liệu cá nhân toàn diện như vậy sẽ gây ra thiệt hại về tài chính và uy tín ngay lập tức và hậu quả lâu dài cho nạn nhân, khiến quá trình phục hồi trở nên phức tạp và kéo dài".
Việc tiết lộ này diễn ra khi Google đang vá các lỗ hổng bảo mật xung quanh việc tải phụ để cho phép các nhà phát triển bên thứ ba xác định xem ứng dụng của họ có được tải phụ bằng API Play Integrity hay không và nếu có, yêu cầu người dùng tải xuống ứng dụng từ Google Play để tiếp tục sử dụng.
Hương – Theo TheHackerNews
Tin liên quan:
Hiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...
Chi tiếtHiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...
Chi tiếtHiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...
Chi tiết