Các tác giả phần mềm độc hại đằng sau Trojan ngân hàng TrickBot đã phát triển một ứng dụng Android mới có thể chặn mã ủy quyền một lần được gửi cho khách hàng ngân hàng Internet qua SMS hoặc thông báo đẩy tương đối an toàn hơn và hoàn thành các giao dịch gian lận.
Ứng dụng Android, được gọi là “TrickMo” của các nhà nghiên cứu IBM X-Force, đang được phát triển tích cực và đã nhắm mục tiêu độc quyền người dùng Đức có máy tính để bàn đã bị nhiễm phần mềm độc hại TrickBot.
“Đức là một trong những cuộc tấn công đầu tiên mà TrickBot lan truyền đến khi nó lần đầu tiên xuất hiện vào năm 2016”, các nhà nghiên cứu của IBM cho biết. “Năm 2020, dường như gian lận ngân hàng khổng lồ của TrickBot là một dự án đang diễn ra giúp các băng đảng kiếm tiền từ các tài khoản bị xâm nhập.”
Cái tên TrickMo là một tham chiếu trực tiếp đến một loại phần mềm độc hại ngân hàng Android tương tự có tên ZitMo, được phát triển bởi băng đảng tội phạm mạng Zeus vào năm 2011 để đánh bại xác thực hai yếu tố dựa trên SMS.
Sự phát triển này là sự bổ sung mới nhất trong kho vũ khí về khả năng phát triển của trojan ngân hàng, từ đó đã biến thành một loại phần mềm độc hại khác, bao gồm ransomware khét tiếng Ryuk, hoạt động như một kẻ đánh cắp thông tin, cướp ví Bitcoin và thu thập email và thông tin đăng nhập.
Lạm dụng các tính năng truy cập của Android để đánh cắp mã OTP
Ban đầu được phát hiện bởi CERT-Bund vào tháng 9 năm ngoái, chiến dịch TrickMo hoạt động bằng cách chặn một loạt các số xác thực giao dịch (TAN), bao gồm mật khẩu một lần (OTP), TAN di động (mTAN) và mã xác thực PushTAN sau khi nạn nhân cài đặt nó trên thiết bị Android của họ.
CERT-Bund tham mưu tiếp tục tuyên bố rằng các máy tính Windows bị nhiễm TrickBot sử dụng các cuộc tấn công người dùng trong trình duyệt (MitB) để hỏi các nạn nhân về số điện thoại di động và loại thiết bị ngân hàng trực tuyến của họ để nhắc họ cài đặt ứng dụng bảo mật giả – hiện được gọi là Thủ thuật.
Nhưng do các mối đe dọa bảo mật do xác thực dựa trên SMS – các tin nhắn có thể dễ dàng bị tấn công bởi các ứng dụng bên thứ ba lừa đảo và cũng dễ bị tấn công hoán đổi SIM – các ngân hàng bắt đầu ngày càng phụ thuộc vào thông báo đẩy cho người dùng, trong đó có giao dịch chi tiết và số TÂN.
Để vượt qua trở ngại trong việc nắm giữ các thông báo đẩy của ứng dụng, TrickMo sử dụng các tính năng trợ năng của Android cho phép nó quay video màn hình của ứng dụng, cạo dữ liệu hiển thị trên màn hình, theo dõi các ứng dụng hiện đang chạy và thậm chí tự đặt nó là ứng dụng SMS mặc định.
Hơn nữa, nó ngăn người dùng các thiết bị bị nhiễm gỡ cài đặt ứng dụng.
Kịch bản tiếp theo…
Sau khi cài đặt, TrickMo cũng có khả năng đạt được sự bền bỉ bằng cách tự khởi động sau khi thiết bị trở nên tương tác hoặc sau khi nhận được tin nhắn SMS mới. Ngoài ra, nó còn có cơ chế cài đặt phức tạp cho phép kẻ tấn công từ xa ra lệnh bật / tắt các tính năng cụ thể (ví dụ: quyền truy cập, trạng thái ghi, trạng thái ứng dụng SMS) thông qua máy chủ chỉ huy và kiểm soát (C2) hoặc SMS thông điệp.
Khi phần mềm độc hại được chạy, nó sẽ lọc ra một loạt thông tin, bao gồm –
- Thông tin thiết bị cá nhân
- Tin nhắn SMS
- Ghi lại các ứng dụng được nhắm mục tiêu cho mật khẩu một lần (TAN)
- Hình ảnh
Nhưng để tránh làm tăng sự nghi ngờ khi đánh cắp mã TAN, TrickMo kích hoạt màn hình khóa, từ đó ngăn người dùng truy cập vào thiết bị của họ. Cụ thể, nó sử dụng màn hình cập nhật Android giả để che dấu các hoạt động đánh cắp OTP của mình.
Và cuối cùng, nó đi kèm với các chức năng tự hủy và loại bỏ, cho phép băng đảng tội phạm mạng đằng sau TrickMo xóa mọi dấu vết về sự hiện diện của phần mềm độc hại khỏi thiết bị sau khi hoạt động thành công.
Công tắc kill cũng có thể được kích hoạt bằng SMS, nhưng các nhà nghiên cứu của IBM nhận thấy rằng có thể giải mã các lệnh SMS được mã hóa bằng khóa riêng RSA được mã hóa cứng được nhúng trong mã nguồn, do đó có thể tạo khóa công khai và tạo một khóa công khai Tin nhắn SMS có thể bật tính năng tự hủy.
Mặc dù điều này có nghĩa là phần mềm độc hạiMột phần mềm độc hại IoT Botnet mới nổi được phát hiện trong tự nhiên có thể được loại bỏ từ xa bằng tin nhắn SMS, nhưng thật công bằng khi cho rằng phiên bản tương lai của ứng dụng có thể khắc phục việc sử dụng chuỗi khóa được mã hóa cứng để giải mã.
“Trojan TrickBot là một trong những chủng phần mềm độc hại ngân hàng hoạt động mạnh nhất trong lĩnh vực tội phạm mạng năm 2019,” các nhà nghiên cứu của IBM kết luận.
“Từ phân tích của chúng tôi, rõ ràng TrickMo được thiết kế để giúp TrickBot phá vỡ các phương thức xác thực dựa trên TAN gần đây nhất. Một trong những tính năng quan trọng nhất mà TrickMo sở hữu là tính năng ghi ứng dụng, đó là khả năng giúp TrickBot vượt qua xác nhận ứng dụng PushTAN mới hơn được triển khai bởi các ngân hàng. ”
Xem thêm: Hướng dẫn cài đặt Remote Desktop Manager
Hướng dẫn cài đặt phần mềm Adobe Photoshop CC 2017
