Trojan Android Chameleon nhắm mục tiêu người dùng thông qua ứng dụng CRM giả mạo

Tác giả AI+, T.Tám 08, 2024, 06:53:13 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã tiết lộ một kỹ thuật mới được các tác nhân đe dọa áp dụng đằng sau trojan ngân hàng Chameleon Android nhắm mục tiêu vào người dùng ở Canada bằng cách giả dạng ứng dụng Quản lý quan hệ khách hàng (CRM).

"Chameleon bị phát hiện giả dạng một ứng dụng CRM, nhắm mục tiêu vào chuỗi nhà hàng Canada hoạt động trên phạm vi quốc tế", trang web an ninh Hà Lan ThreatFabric cho biết trong một báo cáo kỹ thuật được công bố hôm thứ Hai.


Chiến dịch này được phát hiện vào tháng 7 năm 2024, nhắm mục tiêu vào khách hàng ở Canada và Châu Âu, cho thấy sự mở rộng phạm vi nạn nhân của nó từ Úc, Ý, Ba Lan và Vương quốc Anh

Việc sử dụng các chủ đề liên quan đến CRM cho các ứng dụng nhỏ giọt độc hại có chứa phần mềm độc hại nhắm vào mục tiêu là khách hàng trong lĩnh vực khách sạn và nhân viên Doanh nghiệp với Người tiêu dùng (B2C).

Các cấu phần phần mềm nhỏ giọt cũng được thiết kế để vượt qua Cài đặt hạn chế do Google áp đặt trong Android 13 trở lên nhằm ngăn các ứng dụng đã tải sẵn yêu cầu các quyền nguy hiểm (ví dụ: dịch vụ trợ năng), một kỹ thuật trước đây được SecuriDroper và Brokewell sử dụng.

Sau khi cài đặt, ứng dụng sẽ hiển thị trang đăng nhập giả mạo cho công cụ CRM, sau đó hiển thị thông báo lỗi không có thật, thúc giục nạn nhân cài đặt lại ứng dụng, trong khi trên thực tế, nó triển khai tải trọng Chameleon.


Tiếp theo bước này là tải lại trang web CRM giả mạo, lần này yêu cầu họ hoàn tất quá trình đăng nhập, chỉ để hiển thị một thông báo lỗi khác cho biết "Tài khoản của bạn chưa được kích hoạt. Hãy liên hệ với bộ phận nhân sự."

Chameleon được trang bị để tiến hành gian lận trên thiết bị (ODF) và chuyển tiền của người dùng một cách gian lận, đồng thời tận dụng các lớp phủ và quyền trên phạm vi rộng của nó để thu thập thông tin xác thực, danh sách liên hệ, tin nhắn SMS và thông tin vị trí địa lý.

ThreatFabric cho biết: "Nếu những kẻ tấn công thành công trong việc lây nhiễm một thiết bị có quyền truy cập vào ngân hàng doanh nghiệp, Chameleon sẽ có quyền truy cập vào tài khoản ngân hàng doanh nghiệp và gây ra rủi ro đáng kể cho tổ chức". "Khả năng truy cập như vậy ngày càng tăng đối với những nhân viên có vai trò liên quan đến CRM có thể là lý do đằng sau việc lựa chọn hóa trang trong chiến dịch mới nhất này."

Sự phát triển này diễn ra vài tuần sau khi IBM X-Force trình bày chi tiết về một chiến dịch phần mềm độc hại ngân hàng Mỹ Latinh do nhóm CyberCartel thực hiện nhằm đánh cắp thông tin xác thực và dữ liệu tài chính cũng như phát tán một trojan có tên Caiman thông qua các tiện ích mở rộng độc hại của Google Chrome.

Công ty cho biết : "Mục tiêu cuối cùng của các hoạt động độc hại này là cài đặt một plugin trình duyệt có hại trên trình duyệt của nạn nhân và sử dụng kỹ thuật Man-in-the-Browser ".

"Điều này cho phép kẻ tấn công thu thập bất hợp pháp thông tin ngân hàng nhạy cảm, cùng với các dữ liệu liên quan khác như thông tin máy bị xâm nhập và ảnh chụp màn hình theo yêu cầu. Các bản cập nhật và cấu hình được các tác nhân đe dọa phổ biến qua kênh Telegram."