Thêm một Trojan ngân hàng OCTO mới phát tán qua các ứng dụng giả mạo trên Google Play
Một số ứng dụng Android giả mạo đã được cài đặt tính đến hiện nay trên Google Play đã hơn 50.000 lần đang được lợi dụng để nhắm mục tiêu tấn công các ngân hàng và các tổ chức tài chính khác.
Trojan ngân hàng này có tên là Octo, được cho là một thương hiệu của một phần mềm độc hại Android khác có tên là ExobotCompact, đến lượt nó, là một sự thay thế “nhỏ gọn” cho người tiền nhiệm Exobot của nó, công ty bảo mật di động Hà Lan ThreatFnai cho biết trong một báo cáo được chia sẻ với TheHackerNews.
Exobot cũng được cho là đã mở đường cho một hậu duệ riêng biệt có tên Coper, ban đầu được phát hiện nhắm mục tiêu vào người dùng Colombia vào khoảng tháng 7 năm 2021, với các lây nhiễm mới hơn nhắm mục tiêu người dùng Android ở các Quốc gia Châu Âu khác nhau.
“Ứng dụng phần mềm độc hại Coper được thiết kế theo mô-đun và bao gồm phương pháp lây nhiễm nhiều giai đoạn và nhiều chiến thuật phòng thủ để tồn tại trong các nỗ lực xóa”, Cyble, công ty an ninh mạng Cyble đã lưu ý trong một phân tích về phần mềm độc hại vào tháng trước.
Giống như các trojan ngân hàng Android khác, các ứng dụng giả mạo không hơn gì các ứng dụng nhỏ giọt, có chức năng chính là triển khai tải các dữ liệu độc hại được nhúng bên trong chúng. Dưới đây là danh sách các ứng dụng đang được Octo và Coper lợi dụng để truyền tải các thành phần độc hại vào thiết bị của mục tiêu:
Pocket Screencaster (com.moh.screen)
Fast Cleaner 2021 (vizeeva.fast.cleaner)
Play Store (com.restthe71)
Postbank Security (com.carbuildz)
Pocket Screencaster (com.cutthousandjs)
BAWAG PSK Security (com.frontwonder2),
Play Store app install (com.theseeye5)
Các ứng dụng này, đóng vai trò là trình cài đặt ứng dụng Cửa hàng Play, ghi màn hình và ứng dụng tài chính, tồn tại trên google play và thông qua các trang đích lừa đảo nhằm dụ người dùng tải xuống bản cập nhật trình duyệt.
Sau khi chúng được cài đặt, chúng sẽ hoạt động như một ống dẫn để khởi chạy trojan, nhưng không phải trước khi yêu cầu người dùng kích hoạt Dịch vụ trợ năng cho phép nó có nhiều khả năng lọc thông tin nhạy cảm từ các điện thoại bị xâm nhập.
Octo, phiên bản sửa đổi của ExobotCompact, cũng được trang bị để thực hiện hành vi gian lận trên thiết bị bằng cách giành quyền điều khiển từ xa đối với các thiết bị bằng cách tận dụng quyền truy cập cũng như API MediaProjection của Android để ghi lại nội dung màn hình trong thời gian thực.
ThreatFnai cho biết, mục tiêu cuối cùng là kích hoạt “tự động bắt đầu các giao dịch gian lận và ủy quyền của nó mà không cần nỗ lực thủ công từ nhà điều hành, do đó cho phép gian lận trên quy mô lớn hơn đáng kể.”
Các tính năng đáng chú ý khác của Octo bao gồm ghi lại các lần gõ phím, thực hiện các cuộc tấn công lớp phủ vào các ứng dụng ngân hàng để nắm bắt thông tin đăng nhập, thu thập thông tin liên hệ và các biện pháp bền bỉ để ngăn chặn việc gỡ cài đặt và tránh các công cụ chống vi-rút.
“Việc đổi thành Octo xóa mối quan hệ trước đây với vụ rò rỉ mã nguồn Exobot, mời nhiều kẻ đe dọa tìm kiếm cơ hội thuê một trojan được cho là mới và nguyên bản”, ThreatFainst lưu ý.
“Các khả năng của nó gây rủi ro không chỉ cho các ứng dụng được nhắm mục tiêu rõ ràng bị tấn công lớp phủ nhắm mục tiêu mà bất kỳ ứng dụng nào được cài đặt trên thiết bị bị nhiễm như ExobotCompact / Octo đều có thể đọc nội dung của bất kỳ ứng dụng nào được hiển thị trên màn hình và cung cấp cho tác nhân đầy đủ thông tin để tương tác từ xa với nó và thực hiện gian lận trên thiết bị (ODF). ”
Các phát hiện gần sau khi phát hiện ra một ngân hàng Android khác biệt có tên là GodFather – chia sẻ sự trùng lặp với trojan ngân hàng Cereberus và Medusa – đã được quan sát thấy nhắm mục tiêu vào người dùng ngân hàng ở châu Âu dưới vỏ bọc của ứng dụng Cài đặt mặc định để chuyển tiền và ăn cắp Tin nhắn SMS, trong số những tin nhắn khác.
Trên hết, một phân tích mới được xuất bản bởi AppCensus cho thấy 11 ứng dụng với hơn 46 triệu lượt cài đặt đã được cấy ghép với SDK của bên thứ ba có tên Coelib để có thể nắm bắt nội dung khay nhớ tạm, dữ liệu GPS, địa chỉ email, số điện thoại và thậm chí cả địa chỉ MAC của bộ định tuyến modem và SSID mạng của người dùng.
Theo TheHackerNews
