Ngày 20 tháng 12 năm 2022Ravie LakshmananPhần mềm độc hại ngân hàng / Bảo mật di động
Các tác nhân đe dọa đằng sau phần mềm độc hại ngân hàng Windows được gọi là Casbaneiro đã được cho là đứng sau một trojan Android mới có tên áo ngựcDex đã được quan sát thấy nhắm mục tiêu người dùng Brazil như một phần của chiến dịch đa nền tảng đang diễn ra.
BrasDex có “hệ thống ghi bàn phím phức tạp được thiết kế để lạm dụng Dịch vụ trợ năng nhằm trích xuất thông tin đăng nhập cụ thể từ một nhóm ứng dụng được nhắm mục tiêu ở Brazil, cũng như công cụ Hệ thống chuyển giao tự động (ATS) có khả năng cao”, ThreatFabric cho biết trong một báo cáo được công bố vào tuần trước.
Công ty bảo mật Hà Lan cho biết cơ sở hạ tầng chỉ huy và kiểm soát (C2) được sử dụng cùng với BrasDex cũng đang được sử dụng để kiểm soát Casbaneiro, vốn được biết là tấn công các ngân hàng và dịch vụ tiền điện tử ở Brazil và Mexico.
Chiến dịch phần mềm độc hại kết hợp giữa Android và Windows ước tính đã dẫn đến hàng nghìn lượt lây nhiễm cho đến nay.
BrasDex, giả dạng ứng dụng ngân hàng cho Banco Santander, cũng là biểu tượng của một xu hướng mới liên quan đến việc lạm dụng API Trợ năng của Android để ghi lại các thao tác gõ phím do nạn nhân nhập vào, tránh xa phương pháp tấn công lớp phủ truyền thống để đánh cắp thông tin đăng nhập và dữ liệu cá nhân khác.
Nó cũng được thiết kế để nắm bắt thông tin số dư tài khoản, sau đó sử dụng thông tin đó để chiếm quyền kiểm soát các thiết bị bị nhiễm và bắt đầu các giao dịch gian lận theo cách có lập trình.
Một khía cạnh đáng chú ý khác của BrasDex là tập trung vào nền tảng thanh toán PIX, cho phép khách hàng ngân hàng ở Brazil thực hiện chuyển tiền chỉ bằng cách sử dụng địa chỉ email hoặc số điện thoại của họ.
Hệ thống ATS trong BrasDex được thiết kế rõ ràng để lạm dụng công nghệ PIX để thực hiện chuyển tiền gian lận.
Đây không phải là lần đầu tiên hệ sinh thái thanh toán tức thời trở thành mục tiêu của những kẻ xấu. Vào tháng 9 năm 2021, Check Point đã nêu chi tiết hai dòng phần mềm độc hại Android có tên PixStealer và MalRhino đã lừa người dùng chuyển toàn bộ số dư tài khoản của họ sang một phần mềm do tác nhân kiểm soát.
Cuộc điều tra của ThreatFabric đối với BrasDex cũng cho phép nó có quyền truy cập vào bảng điều khiển C2 được sử dụng bởi những kẻ điều hành tội phạm để theo dõi các thiết bị bị nhiễm và truy xuất nhật ký dữ liệu lấy từ điện thoại Android.
Như đã xảy ra, bảng điều khiển C2 cũng đang được sử dụng để theo dõi một chiến dịch phần mềm độc hại khác nhằm xâm phạm các máy Windows để triển khai Casbaneiro, một trojan tài chính dựa trên Delphi.
Chuỗi tấn công này sử dụng các chiêu dụ lừa đảo theo chủ đề chuyển phát gói hàng có ý định đến từ Correios, một dịch vụ bưu chính thuộc sở hữu nhà nước, để lừa người nhận thực thi phần mềm độc hại theo quy trình nhiều giai đoạn.
Các tính năng của Casbaneiro chạy gam màu cửa hậu điển hình cho phép nó chiếm quyền kiểm soát tài khoản ngân hàng, chụp ảnh màn hình, thực hiện ghi nhật ký bàn phím, chiếm quyền điều khiển dữ liệu khay nhớ tạm và thậm chí hoạt động như một phần mềm độc hại clipper để chiếm quyền điều khiển các giao dịch tiền điện tử.
ThreatFabric cho biết: “Là các họ phần mềm độc hại độc lập và hoàn chỉnh, BrasDex và Casbaneiro tạo thành một cặp rất nguy hiểm, cho phép tác nhân đằng sau chúng nhắm mục tiêu cả người dùng Android và Windows trên quy mô lớn”.
“Trường hợp BrasDex cho thấy sự cần thiết của các cơ chế ngăn chặn và phát hiện gian lận trên thiết bị của khách hàng: Các khoản thanh toán gian lận được thực hiện tự động với sự trợ giúp của các công cụ ATS có vẻ hợp pháp đối với các công cụ phụ trợ của ngân hàng và các công cụ chấm điểm gian lận, vì chúng được thực hiện thông qua cùng một thiết bị thường là khách hàng sử dụng.”
