Trojan ngân hàng Octo mới phát tán qua các ứng dụng giả mạo trên Cửa hàng Google Play

Cửa hàng Google Play

Một số ứng dụng Android giả mạo đã được cài đặt tích lũy từ chính thức hơn 50.000 lần đang được sử dụng để nhắm mục tiêu các ngân hàng và các tổ chức tài chính khác.

cho thuê, được mệnh danh là Tháng 10được cho là thương hiệu của một độc hại Android khác có tên là ExobotCompact, đây là sự thay thế “nhỏ gọn” cho người tiền nhiệm Exobot, công ty bảo mật di động Hà Lan ThreatFnai cho biết trong một báo cáo được chia sẻ với The Hacker News.

Exobot cũng có thể được cho là đã mở đường cho một hậu duệ riêng biệt có tên Coper, ban đầu được phát hiện nhắm mục tiêu vào người dùng Colombia vào khoảng tháng 7 năm 2021, với các lây nhiễm mới hơn nhắm mục tiêu người dùng Android ở các Quốc gia Châu Âu khác nhau.

“Ứng dụng phần mềm độc hại Coper có thiết kế theo mô-đun và bao gồm phương pháp lây nhiễm nhiều giai đoạn và nhiều chiến thuật phòng thủ để tồn tại trong các nỗ lực xóa”, Cyble, công ty bảo mật mạng Cyble đã lưu ý trong một phân tích về phần mềm độc hại vào tháng trước.

Giống như các trojan ngân hàng Android khác, các ứng dụng giả mạo không gì khác hơn là các ứng dụng nhỏ giọt, có chức năng chính là triển khai tải trọng độc hại được nhúng bên trong chúng. Dưới đây là danh sách các ống nhỏ giọt của Octo và Coper được sử dụng bởi nhiều tác nhân đe dọa:

Xem tiếp:   Lỗi 15 năm tuổi trong Kho lưu trữ PEAR PHP có thể đã kích hoạt các cuộc tấn công chuỗi cung ứng

Pocket Screencaster (com.moh.screen) Fast Cleaner 2021 (vizeeva.fast.cleaner) Play Store (com.restthe71) Postbank Security (com.carbuildz) Pocket Screencaster (com.cutthousandjs) BAWAG PSK Security (com.frontwonder2), và Cài đặt ứng dụng Cửa hàng Play (com.theseeye5)

Các ứng dụng này, đóng vai trò là trình cài đặt ứng dụng Cửa hàng Play, ghi màn hình và ứng dụng tài chính, được “cung cấp bởi các kế hoạch phân phối sáng tạo”, phân phối chúng thông qua cửa hàng Google Play và thông qua các trang đích lừa đảo nhằm cảnh báo người dùng tải xuống bản cập nhật trình duyệt.

Cửa hàng Google Play

Các ống nhỏ giọt, sau khi được cài đặt, hoạt động như một ống dẫn để khởi chạy trojan, nhưng không phải trước khi yêu cầu người dùng kích hoạt Dịch vụ trợ năng cho phép nó có nhiều khả năng lọc thông tin nhạy cảm từ các điện thoại bị xâm nhập.

Octo, phiên bản sửa đổi của ExobotCompact, cũng được trang bị để thực hiện gian lận trên thiết bị bằng cách giành quyền điều khiển từ xa đối với các thiết bị bằng cách tận dụng quyền trợ năng cũng như API MediaProjection của Android để ghi lại nội dung màn hình trong thời gian thực.

ThreatFnai cho biết, mục tiêu cuối cùng là kích hoạt “tự động bắt đầu các giao dịch gian lận và ủy quyền của nó mà không cần nỗ lực thủ công từ nhà điều hành, do đó cho phép gian lận trên quy mô lớn hơn đáng kể.”

Xem tiếp:   Hệ thống SAILFISH để tìm lỗi không nhất quán của trạng thái trong hợp đồng thông minh

Các tính năng đáng chú ý khác của Octo bao gồm ghi lại các lần gõ phím, thực hiện các cuộc tấn công lớp phủ vào các ứng dụng ngân hàng để nắm bắt thông tin xác thực, thu thập thông tin liên hệ và các biện pháp bền bỉ để ngăn chặn việc gỡ cài đặt và tránh các công cụ chống vi-rút.

“Việc đổi thương hiệu thành Octo xóa mối quan hệ trước đây với vụ rò rỉ mã nguồn Exobot, mời nhiều kẻ đe dọa tìm kiếm cơ hội thuê một trojan được cho là mới và nguyên bản”, ThreatFainst lưu ý.

“Các khả năng của nó có nguy cơ gây rủi ro không chỉ các ứng dụng được nhắm mục tiêu rõ ràng bị tấn công lớp phủ nhắm mục tiêu mà bất kỳ ứng dụng nào được cài đặt trên thiết bị bị nhiễm như ExobotCompact / Octo đều có thể đọc nội dung của bất kỳ ứng dụng nào hiển thị trên màn hình và cung cấp cho tác nhân đầy đủ thông tin để tương tác từ xa với nó và thực hiện gian lận trên thiết bị (ODF). “

Các phát hiện gần sau khi phát hiện ra một ngân hàng Android khác biệt có tên là GodFather – chia sẻ sự trùng lặp với trojan ngân hàng Cereberus và Medusa – đã được quan sát thấy nhắm mục tiêu vào người dùng ngân hàng ở châu Âu dưới vỏ bọc của ứng dụng Cài đặt mặc định để chuyển tiền và ăn cắp Tin nhắn SMS, trong số những tin nhắn khác.

Xem tiếp:   Google phát hành bản cập nhật khẩn cấp cho Chrome để vá lỗ hổng bảo mật trong ngày không được khai thác chủ động

Trên hết, một phân tích mới được xuất bản bởi AppCensus đã phát hiện ra 11 ứng dụng với hơn 46 triệu lượt cài đặt đã được cấy ghép với SDK của bên thứ ba có tên Coelib để có thể nắm bắt nội dung khay nhớ tạm, dữ liệu GPS, địa chỉ email, số điện thoại và thậm chí cả địa chỉ MAC của bộ định tuyến modem và SSID mạng của người dùng.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …