Tin tặc Android nhắm vào hơn 800 ứng dụng ngân hàng, tiền điện tử và mạng xã hội với tỷ lệ phát hiện gần như bằng không: Zimperium

Tin tặc Android nhắm đến 800 ứng dụng

Tin tặc Android hiện đang nhắm đến hơn 800 ứng dụng trong các lĩnh vực ngân hàng, tiền điện tử và mạng xã hội. Công ty an ninh mạng Zimperium cho biết các nhà nghiên cứu của họ đã xác định được bốn gia đình phần mềm độc hại đang hoạt động, sử dụng cơ sở hạ tầng điều khiển và chỉ huy tiên tiến để đánh cắp thông tin đăng nhập, thực hiện các giao dịch tài chính trái phép và lấy cắp dữ liệu quy mô lớn.

“Tổng thể, các chiến dịch này nhắm đến hơn 800 ứng dụng trong các lĩnh vực ngân hàng, tiền điện tử và mạng xã hội. Bằng cách sử dụng các kỹ thuật chống phân tích tiên tiến và can thiệp cấu trúc APK, các gia đình này thường duy trì tỷ lệ phát hiện gần như bằng không đối với các cơ chế bảo mật dựa trên chữ ký truyền thống.”

Tên của các gia đình phần mềm độc hại bao gồm RecruitRat, SaferRat, Astrinox và Massiv.

Các phương thức tấn công

Các kẻ tấn công thường dựa vào các trang web lừa đảo, lời mời làm việc giả, bản cập nhật phần mềm giả, các trò lừa đảo qua tin nhắn văn bản và các chiêu trò khuyến mãi để thuyết phục nạn nhân cài đặt các ứng dụng Android độc hại. Khi đã được cài đặt, phần mềm độc hại có thể yêu cầu quyền truy cập Accessibility, ẩn biểu tượng ứng dụng, chặn các nỗ lực gỡ cài đặt, đánh cắp mã PIN và mật khẩu thông qua các màn hình khóa giả, ghi lại mã xác thực một lần, phát trực tiếp màn hình thiết bị và chồng lên các trang đăng nhập giả mạo trên các ứng dụng ngân hàng hoặc tiền điện tử hợp pháp.

“Các cuộc tấn công chồng lên vẫn là nền tảng của vòng đời thu thập thông tin đăng nhập. Sử dụng Dịch vụ Accessibility để theo dõi giao diện chính, phần mềm độc hại phát hiện chính xác thời điểm nạn nhân khởi động một ứng dụng tài chính. Sau đó, phần mềm độc hại lấy một tải trọng HTML độc hại và chồng lên giao diện người dùng của ứng dụng hợp pháp, tạo ra một lớp vỏ bề ngoài rất thuyết phục và lừa đảo.”

Công ty cho biết các chiến dịch này sử dụng giao thức HTTPS và WebSocket để hòa trộn lưu lượng độc hại với hoạt động ứng dụng bình thường, trong khi một số biến thể thêm các lớp mã hóa bổ sung để tránh bị phát hiện.