Hình 1. Các mô-đun của mã độc trojan Octo trên Android
Mã độc Trojan mới có tên là Octo trên Android nhắm tới các mục tiêu là ngân hàng, được cho là một trong những biến thể của một phần mềm độc hại trên Android khác có tên là Exobot Compact – được phát hiện vào năm 2019 khi tấn công các ngân hàng ở Mỹ La-tinh. Một biến thể khác của Exobot Compact là Coper được phát hiện vào khoảng tháng 7/2021 ở Colombia, sau đó lan rộng ra các quốc gia ở Châu Âu. Loại phần mềm độc hại này thường được biết đến với việc mạo danh các ứng dụng tổ chức tài chính có tên Bancolombia Personas. Các phiên bản mới hơn của phần mềm độc hại Coper cũng bắt đầu sử dụng các ứng dụng tiện ích mạo danh.
Hình 2. Mã chương trình thực thi Coper
Giống như các mã độc trojan trên Android nhắm mục tiêu vào các ngân hàng, trojan Octo hay Coper thực thi dựa trên trình thả Dropper – một chương trình hoặc một tập tin được sử dụng để cài đặt các rootkit trên thiết bị mục tiêu. Dưới đây là danh sách các trình thả Droppers của Octo và Coper được sử dụng bởi các tác nhân đe dọa:
Các ứng dụng này, đóng vai trò là trình cài đặt ứng dụng trên cửa hàng Google Play, có khả năng ghi lại màn hình và thu thập thông tin từ các ứng dụng giao dịch tài chính, được phân phối thông qua cửa hàng Google Play hoặc qua các trang web lừa đảo nhằm yêu cầu người dùng tải xuống bản cập nhật trình duyệt.
Hình 3. Một số hình thức gian lận trên thiết bị di động
Các trình thả Droppers, sau khi được cài đặt hoạt động như một đường dẫn để khởi chạy trojan. Khi Dropper được thực thi, nó sẽ giải nén các đoạn mã độc lên thiết bị. Thông thường, một dropper nhúng các đoạn mã nhị phân vào trong phần Resource của tập tin thực thi. Để trích xuất, các tập tin thực thi trong phần Resource của Dropper được giải nén bằng cách sử dụng các thủ tục gọi hàm API như là FindResource(), LoadResource(), LockResource() và SizeOfResource().
Hình 4. Tập tin thực thi được nhúng vào trong phần Resource của Dropper
Octo - phiên bản nâng cấp của ExobotCompact, được cài đặt để thực hiện gian lận trên thiết bị bằng cách giành quyền điều khiển từ xa đối với các thiết bị di động thông qua tận dụng quyền trợ năng cũng như API MediaProjection của Android để ghi lại nội dung màn hình cũng như có khả năng chia sẻ màn hình ứng dụng trong thời gian thực.
Theo công ty bảo mật ThreatFnai của Hà Lan cho biết, mục tiêu cuối cùng của mã độc trojan Octo là kích hoạt tự động thực hiện các giao dịch gian lận và cung cấp khả năng ủy quyền thực thi mà không cần thông qua tổ chức, do đó cho phép gian lận trên quy mô lớn. Các tính năng đáng chú ý khác của Octo bao gồm: khả năng lưu lại các lần gõ phím, khả năng thực hiện các cuộc tấn công lớp phủ (overlay attack) vào các ứng dụng ngân hàng để đánh cắp thông tin xác thực, thông tin giao dịch, cũng như cung cấp các biện pháp thích ứng nhằm ngăn chặn việc gỡ cài đặt ứng dụng và lẩn tránh trước các công cụ diệt virus.
Trương Đình Dũng
(tổng hợp)
16:00 | 23/11/2022
15:00 | 17/02/2022
09:00 | 29/04/2022
09:00 | 25/11/2022
14:00 | 09/12/2022
09:00 | 09/01/2023
09:00 | 19/05/2022
10:00 | 08/04/2022
15:00 | 19/03/2022
14:00 | 02/10/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
14:00 | 06/08/2024
Một nhóm tin tặc có tên Stargazer Goblin đã thiết lập một mạng lưới các tài khoản GitHub không xác thực để cung cấp dịch vụ phân phối dưới dạng dịch vụ (DaaS) nhằm phát tán nhiều loại phần mềm độc hại và đánh cắp thông tin, nhóm đã thu về 100.000 USD lợi nhuận bất hợp pháp trong năm qua.
16:00 | 26/07/2024
Nhóm APT có tên là CloudSorcerer đã được phát hiện đang nhắm mục tiêu vào chính phủ Nga bằng cách tận dụng các dịch vụ đám mây để giám sát và kiểm soát (command-and-control, C2) và lọc dữ liệu.
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
09:00 | 08/10/2024