VietNetwork.Vn

Hơn 1.500 thiết bị Android đã bị nhiễm một loại phần mềm độc hại ngân hàng Android mới có tên là ToxicPanda, cho phép kẻ tấn công thực hiện các giao dịch ngân hàng gian lận.

"Mục tiêu chính của ToxicPanda là khởi tạo việc chuyển tiền từ các thiết bị bị xâm phạm thông qua việc chiếm đoạt tài khoản (ATO) bằng một kỹ thuật nổi tiếng gọi là gian lận trên thiết bị ( ODF )", các nhà nghiên cứu của Cleafy là Michele Roviello, Alessandro Strino và Federico Valentini cho biết trong một phân tích hôm thứ Hai.


"Mục đích của nó là vượt qua các biện pháp đối phó của ngân hàng được sử dụng để thực thi xác minh và xác thực danh tính của người dùng, kết hợp với các kỹ thuật phát hiện hành vi mà ngân hàng áp dụng để xác định các giao dịch chuyển tiền đáng ngờ."

ToxicPanda được cho là tác phẩm của một tác nhân đe dọa nói tiếng Trung Quốc, với phần mềm độc hại có những điểm tương đồng cơ bản với một phần mềm độc hại Android khác có tên là TgToxic, có thể đánh cắp thông tin đăng nhập và tiền từ ví tiền điện tử. TgToxic đã được Trend Micro ghi nhận vào đầu năm 2023.

Phần lớn các vụ xâm phạm được báo cáo ở Ý (56,8%), tiếp theo là Bồ Đào Nha (18,7%), Hồng Kông (4,6%), Tây Ban Nha (3,9%) và Peru (3,4%), đánh dấu một trường hợp hiếm hoi về một tác nhân đe dọa từ Trung Quốc dàn dựng một kế hoạch gian lận nhằm vào người dùng ngân hàng bán lẻ ở Châu Âu và Châu Mỹ Latinh.

Trojan ngân hàng này cũng có vẻ đang trong giai đoạn mới hình thành. Phân tích cho thấy đây là phiên bản rút gọn của tổ tiên, loại bỏ Automatic Transfer System ( ATS ), Easyclick và các chương trình che giấu, đồng thời đưa vào 33 lệnh mới để thu thập nhiều loại dữ liệu.

Ngoài ra, có tới 61 lệnh được phát hiện là chung cho cả TgToxic và ToxicPanda, cho thấy cùng một tác nhân đe dọa hoặc những kẻ liên quan đứng sau họ phần mềm độc hại mới này.

"Mặc dù có một số điểm tương đồng về lệnh bot với họ TgToxic, nhưng mã lệnh lại khác biệt đáng kể so với nguồn gốc ban đầu của nó", các nhà nghiên cứu cho biết. "Nhiều khả năng đặc trưng của TgToxic không có, và một số lệnh xuất hiện dưới dạng trình giữ chỗ mà không có triển khai thực tế".


Phần mềm độc hại này ngụy trang thành các ứng dụng phổ biến như Google Chrome, Visa và 99 Speedmart và được phân phối thông qua các trang giả mạo bắt chước các trang danh sách cửa hàng ứng dụng. Hiện tại, người ta vẫn chưa biết các liên kết này được lan truyền như thế nào và liệu chúng có liên quan đến các kỹ thuật quảng cáo độc hại hay tin nhắn lừa đảo hay không.

Sau khi cài đặt thông qua sideloading, ToxicPanda sẽ lợi dụng các dịch vụ trợ năng của Android để có được quyền cao hơn, thao túng dữ liệu đầu vào của người dùng và thu thập dữ liệu từ các ứng dụng khác. Nó cũng có thể chặn mật khẩu một lần (OTP) được gửi qua SMS hoặc được tạo bằng ứng dụng xác thực, do đó cho phép các tác nhân đe dọa bỏ qua các biện pháp bảo vệ xác thực hai yếu tố (2FA) và hoàn tất các giao dịch gian lận.

Chức năng cốt lõi của phần mềm độc hại này, ngoài khả năng thu thập thông tin, là cho phép kẻ tấn công điều khiển từ xa thiết bị bị xâm phạm và thực hiện cái gọi là ODF, cho phép khởi tạo các giao dịch chuyển tiền trái phép mà nạn nhân không hề hay biết.

Cleafy cho biết họ có thể truy cập vào bảng điều khiển chỉ huy và kiểm soát (C2) của ToxicPanda, một giao diện đồ họa được trình bày bằng tiếng Trung cho phép người vận hành xem danh sách các thiết bị nạn nhân, bao gồm thông tin về kiểu máy và vị trí, và gỡ chúng ra khỏi mui xe. Hơn nữa, bảng điều khiển đóng vai trò như một đường dẫn để yêu cầu truy cập từ xa theo thời gian thực vào bất kỳ thiết bị nào để tiến hành ODF.

"ToxicPanda cần chứng minh các khả năng tiên tiến và độc đáo hơn có thể làm phức tạp thêm quá trình phân tích của nó", các nhà nghiên cứu cho biết. "Tuy nhiên, các hiện vật như thông tin ghi nhật ký, mã chết và tệp gỡ lỗi cho thấy phần mềm độc hại có thể đang trong giai đoạn đầu phát triển hoặc đang trải qua quá trình tái cấu trúc mã mở rộng—đặc biệt là khi xét đến những điểm tương đồng của nó với TGToxic".

Sự phát triển này diễn ra khi một nhóm các nhà nghiên cứu từ Viện Công nghệ Georgia, Đại học Quốc tế Đức và Đại học Kyung Hee trình bày chi tiết về một dịch vụ phân tích phần mềm độc hại ở phía sau có tên là DVa – viết tắt của Detector of Victim-specific Accessibility – để đánh dấu phần mềm độc hại khai thác các tính năng trợ năng trên thiết bị Android.

"Sử dụng dấu vết thực thi động, DVa tiếp tục sử dụng chiến lược thực thi tượng trưng hướng dẫn vector lạm dụng để xác định và gán các thói quen lạm dụng cho nạn nhân", họ cho biết. "Cuối cùng, DVa phát hiện các cơ chế duy trì được hỗ trợ bởi [khả năng truy cập] để hiểu cách phần mềm độc hại cản trở các truy vấn pháp lý hoặc các nỗ lực xóa bỏ".