Năm ứng dụng Android nhỏ giọt độc hại với hơn 130.000 lượt cài đặt tích lũy đã được phát hiện trên Cửa hàng google Play phân phối trojan ngân hàng như SharkBot và Vultur, có khả năng đánh cắp dữ liệu tài chính và thực hiện gian lận trên thiết bị.
Công ty bảo mật di động Hà Lan ThreatFnai nói với The Hacker News trong một tuyên bố: “Những ống nhỏ giọt này tiếp tục sự phát triển không ngừng của các ứng dụng độc hại lẻn vào cửa hàng chính thức”.
“Sự phát triển này bao gồm việc tuân theo các chính sách mới được giới thiệu và giả dạng là người quản lý tệp và khắc phục các hạn chế bằng cách tải bên cạnh tải trọng độc hại thông qua trình duyệt web.”
Các mục tiêu của các công cụ nhỏ giọt này bao gồm 231 ứng dụng ví tiền điện tử và ngân hàng từ các tổ chức tài chính ở Ý, Anh, Đức, Tây Ban Nha, Ba Lan, Áo, Mỹ, Úc, Pháp và Hà Lan.
Ứng dụng Dropper trên các cửa hàng ứng dụng chính thức như Google Play ngày càng trở thành một kỹ thuật phổ biến và hiệu quả để phân phối phần mềm độc hại ngân hàng cho những người dùng không nghi ngờ, ngay cả khi các tác nhân đe dọa đằng sau các chiến dịch đó liên tục tinh chỉnh các chiến thuật của họ để vượt qua các hạn chế do Google áp đặt.
Dưới đây là danh sách các ứng dụng độc hại, bốn trong số đó vẫn có sẵn trên thị trường kỹ thuật số –
Làn sóng mới nhất của các cuộc tấn công SharkBot nhằm vào người dùng ngân hàng Ý kể từ đầu tháng 10 năm 2022 đã dẫn đến việc sử dụng ống nhỏ giọt giả mạo để xác định mã số thuế tại quốc gia này (“Codice Fiscale 2022”).
Mặc dù Chính sách chương trình dành cho nhà phát triển của Google giới hạn việc sử dụng REQUEST_INSTALL_PACKAGES quyền để ngăn quyền này bị lạm dụng để cài đặt các gói ứng dụng tùy ý, nhưng ống nhỏ giọt, sau khi được khởi chạy, sẽ vượt qua rào cản này bằng cách mở một trang cửa hàng Google Play giả mạo danh danh sách ứng dụng, dẫn đến tải xuống phần mềm độc hại dưới chiêu bài cập nhật.
Gia công phần mềm truy xuất phần mềm độc hại cho trình duyệt không phải là phương pháp duy nhất được các tác nhân tội phạm áp dụng. Trong một trường hợp khác được ThreatFainst phát hiện, ống nhỏ giọt được coi là ứng dụng quản lý tệp, theo chính sách đã sửa đổi của Google, là một danh mục được phép có quyền REQUEST_INSTALL_PACKAGES.
Cũng được phát hiện có ba ống nhỏ giọt cung cấp các tính năng được quảng cáo nhưng cũng đi kèm với một chức năng ẩn nhắc người dùng cài đặt bản cập nhật khi mở ứng dụng và cấp cho họ quyền cài đặt ứng dụng từ các nguồn không xác định, dẫn đến việc phân phối Vultur.
Biến thể mới của trojan đáng chú ý là bổ sung khả năng ghi nhật ký rộng rãi các yếu tố giao diện người dùng và các sự kiện tương tác (ví dụ: nhấp chuột, cử chỉ, v.v.), mà ThreatFnai cho biết có thể là một giải pháp thay thế cho việc sử dụng cờ cửa sổ FLAG_SECURE của các ứng dụng ngân hàng để ngăn chúng bị chụp trong ảnh chụp màn hình.
Phát hiện từ ThreatFnai cũng được đưa ra khi Cyble phát hiện ra phiên bản nâng cấp của trojan Android Drinik nhắm vào 18 ngân hàng Ấn Độ bằng cách mạo danh ứng dụng cục thuế chính thức của nước này để lấy thông tin cá nhân thông qua việc lạm dụng API dịch vụ trợ năng.
“Phân phối thông qua ống nhỏ giọt trên Google Play vẫn là cách tiếp cận nạn nhân ‘hợp lý' nhất và có thể mở rộng đối với hầu hết các đối tượng ở các cấp độ khác nhau”, công ty lưu ý.
“Mặc dù các chiến thuật tinh vi như phân phối cuộc tấn công theo định hướng qua điện thoại đòi hỏi nhiều tài nguyên hơn và khó mở rộng quy mô, nhưng ống nhỏ giọt trên các cửa hàng chính thức và bên thứ ba cho phép các tác nhân đe dọa tiếp cận nhiều đối tượng không nghi ngờ với những nỗ lực hợp lý.”
