Một trojan ngân hàng Android mới đã nhắm vào các tổ chức tài chính Brazil để thực hiện hành vi lừa đảo bằng cách tận dụng nền tảng thanh toán PIX.
Công ty an ninh mạng Cleafy của Ý, công ty đã phát hiện ra phần mềm độc hại này từ cuối năm 2022 đến đầu năm 2023, đang theo dõi nó dưới tên PixPirate.
“PixPirate thuộc thế hệ trojan ngân hàng Android mới nhất, vì nó có thể thực hiện ATS (Hệ thống chuyển tự động), cho phép kẻ tấn công tự động chèn chuyển tiền độc hại qua nền tảng Thanh toán tức thì Pix, được nhiều ngân hàng Brazil áp dụng,” các nhà nghiên cứu Francesco Iubatti và Alessandro Strino cho biết.
Đây cũng là phần bổ sung mới nhất trong danh sách dài các phần mềm độc hại ngân hàng Android lạm dụng API dịch vụ trợ năng của hệ điều hành để thực hiện các chức năng bất chính của nó, bao gồm vô hiệu hóa Google Play Protect, chặn tin nhắn SMS, ngăn chặn việc gỡ cài đặt và phân phát quảng cáo lừa đảo qua thông báo đẩy.
Bên cạnh việc đánh cắp mật khẩu do người dùng nhập trên các ứng dụng ngân hàng, các tác nhân đe dọa đằng sau hoạt động này đã tận dụng kỹ thuật che giấu và mã hóa mã bằng cách sử dụng một khung có tên Auto.js để chống lại các nỗ lực kỹ thuật đảo ngược.
Các ứng dụng nhỏ giọt được sử dụng để phân phối PixPirate nằm dưới vỏ bọc của các ứng dụng xác thực. Không có dấu hiệu nào cho thấy các ứng dụng đã được xuất bản lên Cửa hàng Google Play chính thức.
Phát hiện này được đưa ra hơn một tháng sau khi ThreatFabric tiết lộ chi tiết về một phần mềm độc hại khác có tên BrasDex cũng đi kèm với khả năng ATS, ngoài việc lạm dụng PIX để thực hiện chuyển tiền gian lận.
“Việc giới thiệu các khả năng ATS kết hợp với các khung sẽ giúp phát triển các ứng dụng di động, sử dụng các ngôn ngữ linh hoạt và phổ biến hơn (giảm thời gian học và thời gian phát triển), có thể dẫn đến phần mềm độc hại tinh vi hơn, trong tương lai, có thể được so sánh với các đối tác máy trạm của họ,” các nhà nghiên cứu cho biết.
Sự phát triển này cũng diễn ra khi Cyble làm sáng tỏ một trojan truy cập từ xa mới trên Android có tên mã là Gigabud RAT nhắm mục tiêu đến người dùng ở Thái Lan, Peru và Philippines kể từ ít nhất là tháng 7 năm 2022 bằng cách giả dạng các ứng dụng của ngân hàng và chính phủ.
Các nhà nghiên cứu cho biết: “RAT có các tính năng nâng cao như ghi lại màn hình và lạm dụng các dịch vụ trợ năng để đánh cắp thông tin đăng nhập ngân hàng”, đồng thời lưu ý rằng RAT sử dụng các trang web lừa đảo như một phương tiện phân phối.
Công ty an ninh mạng tiết lộ thêm rằng các tác nhân đe dọa đằng sau thị trường darknet InTheBox đang quảng cáo một danh mục gồm 1.894 lần tiêm web tương thích với nhiều phần mềm độc hại ngân hàng Android khác nhau như Alien, Cerberus, ERMAC, Hydra và Octo.
Các mô-đun web injection, chủ yếu được sử dụng để thu thập thông tin đăng nhập và dữ liệu nhạy cảm, được thiết kế để tách riêng ngân hàng, dịch vụ thanh toán di động, trao đổi tiền điện tử và các ứng dụng thương mại điện tử di động trải dài khắp Châu Á, Châu Âu, Trung Đông và Châu Mỹ.
Nhưng trong một diễn biến đáng lo ngại hơn, các ứng dụng gian lận đã tìm ra cách vượt qua hàng rào phòng thủ trong Apple App Store và Google Play để thực hiện cái gọi là lừa đảo giết mổ lợn có tên là CryptoRom.
Kỹ thuật này đòi hỏi phải sử dụng các phương pháp kỹ thuật xã hội như tiếp cận nạn nhân thông qua các ứng dụng hẹn hò như Tinder để lôi kéo họ tải xuống các ứng dụng đầu tư lừa đảo với mục tiêu đánh cắp tiền của họ.
Các ứng dụng iOS độc hại được đề cập là Ace Pro và MBM_BitScan, cả hai đều đã bị Apple xóa. Phiên bản Android của MBM_BitScan cũng đã bị Google gỡ xuống.
Công ty an ninh mạng Sophos, công ty đã phát hiện ra, cho biết các ứng dụng iOS có “kỹ thuật trốn tránh đánh giá” cho phép tác giả phần mềm độc hại vượt qua quy trình kiểm tra.
Nhà nghiên cứu Jagadeesh Chandraiah của Sophos cho biết: “Cả hai ứng dụng mà chúng tôi tìm thấy đều sử dụng nội dung từ xa để cung cấp chức năng độc hại của chúng – nội dung có khả năng bị che giấu cho đến khi quá trình xem xét App Store hoàn tất”.
Lừa đảo giết mổ lợn bắt đầu ở Trung Quốc và Đài Loan, sau đó đã mở rộng ra toàn cầu trong những năm gần đây, với phần lớn các hoạt động được thực hiện từ các đặc khu kinh tế ở Lào, Myanmar và Campuchia.
Vào tháng 11 năm 2022, Bộ Tư pháp Hoa Kỳ (DoJ) đã thông báo về việc gỡ bỏ bảy tên miền liên quan đến một vụ lừa đảo tiền điện tử mổ lợn đã thu về cho những kẻ tội phạm hơn 10 triệu đô la từ năm nạn nhân.
