Cụ thể, những kẻ tấn công nhắm mục tiêu vào các tổ chức tài chính, ví tiền điện tử và nền tảng thanh toán ảo bằng cách mạo danh một ứng dụng Orange SA Android và cố gắng lấy cắp thông tin đăng nhập của người dùng.
Anubis lần đầu tiên xuất hiện trên các diễn đàn hack của Nga vào năm 2016, được biết như một trojan ngân hàng mã nguồn mở với các hướng dẫn về cách triển khai ứng dụng khách và các thành phần của nó.
Trong những năm sau đó, Anubis đã phát triển hơn và mã nguồn mới của nó tiếp tục được chia sẻ cởi mở trên các diễn đàn.
Vào năm 2019, phần mềm độc hại này đã thêm một mô-đun ransomware gần như đầy đủ chức năng và xâm nhập vào Cửa hàng Play của Google thông qua các ứng dụng giả mạo.
Năm 2020, Anubis trở lại thông qua các chiến dịch lừa đảo quy mô lớn, nhằm vào 250 ứng dụng ngân hàng và mua sắm.
Anubis sẽ hiển thị các biểu mẫu đăng nhập lừa đảo giả mạo, khi người dùng mở ứng dụng của các nền tảng bị xâm nhập để lấy cắp thông tin đăng nhập. Màn hình lớp phủ này sẽ được hiển thị trên màn hình đăng nhập của ứng dụng thực để khiến nạn nhân nghĩ rằng đó là một hình thức đăng nhập hợp pháp và sau đó thông tin đã nhập sẽ được gửi đến những kẻ tấn công.
Lớp phủ biểu mẫu đăng nhập lừa đảo của Anubis
Trong phiên bản mới được phát hiện, Anubis hiện nhắm mục tiêu vào 394 ứng dụng và có các khả năng:
Các lớp Anubis ẩn bên trong ứng dụng giả mạo
Anubis phát hiện xem thiết bị đang bị xâm nhập có bật Google Play Protected hay không và đưa ra cảnh báo hệ thống giả để lừa người dùng vô hiệu hóa tính năng đó.
Việc hủy kích hoạt này cung cấp cho phần mềm độc hại toàn quyền truy cập vào thiết bị và tự do gửi và nhận dữ liệu từ Máy chủ ra lệnh và kiểm soát (Command and Control – C2) mà không có bất kỳ sự can thiệp nào.
Lừa người dùng tắt Google Play Protect
Vào tháng 7/2021, những kẻ tấn công gửi gói "fr.orange.serviceapp" tới cửa hàng Google Play nhưng đã bị từ chối. Lookout (nhà cung cấp bảo mật mạng hàng đầu tại Mỹ) cho rằng những kẻ tấn công chỉ đang kiểm tra trình phát hiện chống phần mềm độc hại của Google.
Ứng dụng Orange giả mạo được phát tán thông qua các trang web độc hại, tin nhắn trực tiếp trên phương tiện truyền thông xã hội, các bài đăng trên diễn đàn.
Nhà nghiên cứu về mối đe dọa của Lookout, Kristina Balaam cho biết, chiến dịch này không chỉ nhắm mục tiêu đến khách hàng Pháp của Orange SA mà còn cả người dùng Mỹ trong đó có các ngân hàng Bank of America, US Bank, Capital One, Chase, SunTrust và Wells Fargo.
Không có thông tin cụ thể về những kẻ đứng sau Anubis, chúng khá cẩn trọng trong việc ẩn dấu vết đăng ký cơ sở hạ tầng C2 của mình.
Đồng thời, những kẻ tấn công sử dụng Cloudflare để chuyển hướng tất cả lưu lượng truy cập mạng thông qua SSL, trong khi C2 giả dạng trang web giao dịch tiền điện tử bằng tên miền "https://quickbitrade[.]com".
Các trang web giao dịch tiền điện tử giả được Anubis sử dụng gần đây
Khách hàng của Orange SA được khuyên chỉ tìm nguồn ứng dụng từ trang web chính thức của các công ty viễn thông hoặc cửa hàng Google Play. Ngoài ra, hãy chú ý đến các quyền được yêu cầu trước khi cấp phép tải xuống và cài đặt một ứng dụng.
Thanh Phương (Theo Bleepingcomputer)
10:00 | 10/11/2021
08:00 | 12/01/2022
20:00 | 30/06/2021
07:00 | 07/06/2021
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024