Các nhà nghiên cứu đã phát hiện ra một phần mềm độc hại ngân hàng Android mới nhắm mục tiêu vào Itaú Unibanco của Brazil với sự trợ giúp của các trang Cửa hàng Google Play trông giống như Google Play để thực hiện các giao dịch tài chính gian lận trên thiết bị của nạn nhân mà họ không hề hay biết.
“Ứng dụng này có biểu tượng và tên tương tự có thể đánh lừa người dùng nghĩ rằng đó là một ứng dụng hợp pháp liên quan đến Itaú Unibanco”, các nhà nghiên cứu của Cyble cho biết trong một báo cáo được công bố vào tuần trước. “Các [threat actor] đã tạo trang Cửa hàng Google Play giả mạo và lưu trữ phần mềm độc hại nhắm mục tiêu Itaú Unibanco trên đó dưới tên ‘sincronizador.apk.' “
Chiến thuật tận dụng các trang cửa hàng ứng dụng giả mạo làm mồi nhử không phải là mới. Vào tháng 3, Meta (trước đây là Facebook) đã tiết lộ chi tiết về một chiến dịch tấn công sử dụng nền tảng của nó như một phần của hoạt động rộng lớn hơn để theo dõi người Hồi giáo Uyghur bằng cách sử dụng các trang web của bên thứ ba giả mạo sử dụng tên miền sao chép cho các cổng tin tức phổ biến và các trang web được thiết kế giống với thứ ba- bên các cửa hàng ứng dụng Android, nơi những kẻ tấn công đặt các ứng dụng bàn phím giả, cầu nguyện và từ điển có thể thu hút các mục tiêu.
Trong trường hợp mới nhất mà Cyble quan sát được, URL giả mạo không chỉ mạo danh thị trường ứng dụng Android chính thức mà còn lưu trữ ứng dụng Itaú Unibanco chứa phần mềm độc hại, ngoài việc tuyên bố rằng ứng dụng đã có 1.895.897 lượt tải xuống.
Sau đó, người dùng cài đặt và khởi chạy ứng dụng mạo danh từ trang Cửa hàng Google Play được cho là sẽ được nhắc bật các dịch vụ trợ năng cũng như các quyền xâm nhập khác cho phép phần mềm độc hại truy cập thông báo, truy xuất nội dung cửa sổ và thực hiện các cử chỉ chạm và vuốt.
Theo các nhà nghiên cứu, mục tiêu của trojan là thực hiện các giao dịch tài chính gian lận trên ứng dụng Itaú Unibanco hợp pháp bằng cách giả mạo các trường đầu vào của người dùng, tham gia vào danh sách dài các phần mềm độc hại ngân hàng lạm dụng API trợ năng. Về phần mình, Google đã bắt đầu áp đặt các giới hạn mới để hạn chế việc sử dụng các quyền cho phép các ứng dụng nắm bắt thông tin nhạy cảm từ các thiết bị Android.
Đây không phải là lần đầu tiên công ty dịch vụ tài chính có trụ sở tại Sao Paulo lọt vào tầm ngắm của các nhóm đe dọa vì động cơ tài chính. Đầu tháng 4 này, ESET đã tiết lộ một trojan ngân hàng mới có tên là Janeleiro, được quan sát thấy tấn công người dùng doanh nghiệp ở Brazil ít nhất kể từ năm 2019 trên nhiều lĩnh vực khác nhau như kỹ thuật, chăm sóc sức khỏe, bán lẻ, sản xuất, tài chính, vận tải và chính phủ.
Các nhà nghiên cứu cho biết: “Những kẻ đe dọa liên tục điều chỉnh các phương pháp của họ để tránh bị phát hiện và tìm ra những cách mới để nhắm mục tiêu người dùng thông qua các kỹ thuật ngày càng tinh vi. Các ứng dụng độc hại như vậy thường giả dạng các ứng dụng hợp pháp để lừa người dùng cài đặt chúng”.
“Người dùng chỉ nên cài đặt các ứng dụng sau khi xác minh tính xác thực của chúng và cài đặt chúng độc quyền từ Cửa hàng Google Play chính thức và các cổng thông tin đáng tin cậy khác để tránh các cuộc tấn công như vậy.”
.
