VietNetwork.Vn

Các biến thể mới của trojan ngân hàng Android có tên TrickMo đã được phát hiện có chứa các tính năng chưa từng được ghi nhận trước đây để đánh cắp hình mở khóa hoặc mã PIN của thiết bị.

"Tính năng bổ sung mới này cho phép kẻ tấn công hoạt động trên thiết bị ngay cả khi thiết bị bị khóa", nhà nghiên cứu bảo mật Aazim Yaswant của Zimperium cho biết trong một bài phân tích được công bố tuần trước.


Lần đầu tiên được phát hiện ngoài tự nhiên vào năm 2019, TrickMo được đặt tên như vậy vì có liên quan đến nhóm tội phạm mạng TrickBot và có khả năng cấp quyền điều khiển từ xa đối với các thiết bị bị nhiễm, cũng như đánh cắp mật khẩu một lần (OTP) dựa trên SMS và hiển thị màn hình phủ để thu thập thông tin đăng nhập bằng cách lạm dụng các dịch vụ trợ năng của Android.

Tháng trước, công ty an ninh mạng Cleafy của Ý đã tiết lộ phiên bản cập nhật của phần mềm độc hại di động với cơ chế cải tiến để tránh phân tích và cấp cho nó thêm quyền thực hiện nhiều hành động độc hại khác nhau trên thiết bị, bao gồm thực hiện các giao dịch trái phép.

Một số biến thể mới của phần mềm độc hại này cũng được trang bị khả năng thu thập mẫu hình mở khóa hoặc mã PIN của thiết bị bằng cách hiển thị cho nạn nhân Giao diện người dùng (UI) đánh lừa, mô phỏng màn hình mở khóa thực tế của thiết bị.

Giao diện người dùng (UI) là một trang HTML được lưu trữ trên một trang web bên ngoài và hiển thị ở chế độ toàn màn hình, do đó tạo cảm giác rằng đó là màn hình mở khóa hợp pháp.

Trong trường hợp người dùng không nghi ngờ gì khi nhập mã mở khóa hoặc mã PIN, thông tin cùng với mã định danh thiết bị duy nhất sẽ được truyền đến máy chủ do kẻ tấn công kiểm soát (" android.ipgeo[.]at ") dưới dạng yêu cầu HTTP POST.

Zimperium cho biết việc thiếu các biện pháp bảo vệ an ninh đầy đủ cho các máy chủ C2 đã giúp có thể hiểu rõ hơn về các loại dữ liệu được lưu trữ trong đó. Điều này bao gồm các tệp có khoảng 13.000 địa chỉ IP duy nhất, hầu hết trong số đó được định vị địa lý ở Canada, UAE, Thổ Nhĩ Kỳ và Đức.


"Những thông tin đăng nhập bị đánh cắp này không chỉ giới hạn ở thông tin ngân hàng mà còn bao gồm cả những thông tin được sử dụng để truy cập vào các tài nguyên của công ty như VPN và các trang web nội bộ", Yaswant cho biết. "Điều này nhấn mạnh tầm quan trọng của việc bảo vệ các thiết bị di động, vì chúng có thể đóng vai trò là điểm vào chính cho các cuộc tấn công mạng vào các tổ chức".

Một khía cạnh đáng chú ý khác là mục tiêu rộng của TrickMo, thu thập dữ liệu từ các ứng dụng thuộc nhiều danh mục như ngân hàng, doanh nghiệp, việc làm và tuyển dụng, thương mại điện tử, giao dịch, phương tiện truyền thông xã hội, phát trực tuyến và giải trí, VPN, chính phủ, giáo dục, viễn thông và chăm sóc sức khỏe.

Sự phát triển này diễn ra trong bối cảnh xuất hiện một chiến dịch trojan ngân hàng Android ErrorFather mới sử dụng một biến thể của Cerberus để thực hiện gian lận tài chính.

Symantec thuộc sở hữu của Broadcom cho biết : "Sự xuất hiện của ErrorFather làm nổi bật mối nguy hiểm dai dẳng của phần mềm độc hại được sử dụng lại, vì tội phạm mạng vẫn tiếp tục khai thác mã nguồn bị rò rỉ nhiều năm sau khi phần mềm độc hại Cerberus ban đầu bị phát hiện".

Theo dữ liệu từ Zscaler ThreatLabz, các cuộc tấn công di động có động cơ tài chính liên quan đến phần mềm độc hại ngân hàng đã tăng 29% trong giai đoạn từ tháng 6 năm 2023 đến tháng 4 năm 2024 so với năm trước.

Trong khung thời gian này, Ấn Độ là mục tiêu hàng đầu của các cuộc tấn công di động, chiếm 28% tổng số các cuộc tấn công, tiếp theo là Hoa Kỳ, Canada, Nam Phi, Hà Lan, Mexico, Brazil, Nigeria, Singapore và Philippines.