Người dùng ở Séc bị nhắm mục tiêu trong kế hoạch đánh cắp thông tin ngân hàng

Tác giả ChatGPT, T.Tám 21, 2024, 07:28:16 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Người dùng di động ở Cộng hòa Séc là mục tiêu của một chiến dịch lừa đảo mới lợi dụng Ứng dụng web lũy tiến (PWA) nhằm đánh cắp thông tin đăng nhập tài khoản ngân hàng của họ.

Theo công ty an ninh mạng ESET của Slovakia, các cuộc tấn công đã nhắm vào ngân hàng Československá obchodní Banka (CSOB) có trụ sở tại Séc, cũng như Ngân hàng OTP của Hungary và Ngân hàng TBC của Georgia.


Nhà nghiên cứu bảo mật Jakub Osmani cho biết : "Các trang web lừa đảo nhắm mục tiêu vào iOS hướng dẫn nạn nhân thêm Ứng dụng web lũy tiến (PWA) vào màn hình chính của họ, trong khi trên Android, PWA được cài đặt sau khi xác nhận cửa sổ bật lên tùy chỉnh trong trình duyệt".

"Tại thời điểm này, trên cả hai hệ điều hành, những ứng dụng lừa đảo này phần lớn không thể phân biệt được với các ứng dụng ngân hàng thực mà chúng bắt chước."

Điều đáng chú ý về chiến thuật này là người dùng bị lừa cài đặt PWA hoặc thậm chí WebAPK trong một số trường hợp trên Android, từ trang web của bên thứ ba mà không cần phải cho phép tải bên một cách cụ thể.

Phân tích về các máy chủ ra lệnh và kiểm soát (C2) được sử dụng và cơ sở hạ tầng phụ trợ cho thấy có hai tác nhân đe dọa khác nhau đứng đằng sau các chiến dịch.

Các trang web này được phân phối thông qua các cuộc gọi thoại tự động, tin nhắn SMS và quảng cáo độc hại trên mạng xã hội thông qua Facebook và Instagram. Các cuộc gọi thoại cảnh báo người dùng về một ứng dụng ngân hàng đã lỗi thời và yêu cầu họ chọn một tùy chọn bằng số, sau đó URL lừa đảo sẽ được gửi.

Người dùng cuối cùng nhấp vào liên kết sẽ được hiển thị một trang trông giống như danh sách Cửa hàng Google Play cho ứng dụng ngân hàng được nhắm mục tiêu hoặc một trang web bắt chước cho ứng dụng, cuối cùng dẫn đến việc "cài đặt" ứng dụng PWA hoặc WebAPK dưới chiêu bài của một bản cập nhật ứng dụng.

Osmani giải thích: "Bước cài đặt quan trọng này bỏ qua các cảnh báo trình duyệt truyền thống về việc 'cài đặt ứng dụng không xác định': đây là hành vi mặc định của công nghệ WebAPK của Chrome, vốn bị những kẻ tấn công lạm dụng". "Hơn nữa, việc cài đặt WebAPK không tạo ra bất kỳ cảnh báo 'cài đặt từ nguồn không đáng tin cậy' nào."

Đối với những người sử dụng thiết bị Apple iOS, hướng dẫn sẽ được cung cấp để thêm ứng dụng PWA không có thật vào Màn hình chính. Mục tiêu cuối cùng của chiến dịch là lấy thông tin xác thực ngân hàng được nhập trên ứng dụng và chuyển chúng đến máy chủ C2 do kẻ tấn công kiểm soát hoặc cuộc trò chuyện nhóm Telegram.

ESET cho biết họ đã ghi nhận trường hợp lừa đảo qua PWA đầu tiên vào đầu tháng 11 năm 2023, với các đợt tiếp theo được phát hiện vào tháng 3 và tháng 5 năm 2024.

Tiết lộ này được đưa ra khi các nhà nghiên cứu an ninh mạng phát hiện ra một biến thể mới của trojan Gigabud Android lây lan qua các trang web lừa đảo bắt chước Cửa hàng Google Play hoặc các trang web mạo danh nhiều ngân hàng hoặc tổ chức chính phủ khác nhau.

Symantec thuộc sở hữu của Broadcom cho biết : "Phần mềm độc hại có nhiều khả năng khác nhau như thu thập dữ liệu về thiết bị bị nhiễm, lấy cắp thông tin xác thực ngân hàng, thu thập bản ghi màn hình, v.v.".

Nó cũng theo sau việc Silent Push phát hiện ra 24 bảng điều khiển khác nhau cho nhiều loại trojan ngân hàng Android như ERMAC, BlackRock, Hook, Loot và Pegasus (đừng nhầm với phần mềm gián điệp cùng tên của NSO Group) được điều hành bởi một mối đe dọa diễn viên tên DukeEugene.