TrickMo lần đầu tiên được các nhà nghiên cứu của tập đoàn công nghệ IBM ghi nhận vào năm 2020, nhưng nhiều chuyên gia cho rằng nó đã được sử dụng trong các cuộc tấn công nhằm vào người dùng Android kể từ ít nhất tháng 9/2019. Giờ đây, phần mềm độc hại này đã trở nên tinh vi và gây ra mối đe dọa đáng kể cho người dùng Android.
Các tính năng chính của phiên bản TrickMo mới bao gồm chặn mật khẩu một lần (OTP), ghi lại màn hình, đánh cắp dữ liệu, điều khiển từ xa,… Phần mềm độc hại này sẽ cố gắng lạm dụng quyền Dịch vụ trợ năng để cấp cho chính nó các quyền bổ sung và tự động nhấn vào lời nhắc khi cần.
Với đặc điểm là một trojan ngân hàng, TrickMo cung cấp một lớp phủ màn hình đăng nhập lừa đảo đến nhiều ngân hàng và tổ chức tài chính khác nhau, để đánh cắp thông tin tài khoản của nạn nhân và cho phép kẻ tấn công thực hiện các giao dịch trái phép.
Hình 1. Màn hình đăng nhập giả mạo trong các cuộc tấn công
Các nhà nghiên cứu của Zimperium (Hoa Kỳ) khi phân tích những biến thể mới này cũng báo cáo về một màn hình mở khóa lừa đảo mới mạo danh lời nhắc mở khóa Android hợp lệ, với mục tiêu đánh cắp hình mở khóa hoặc mã PIN của người dùng.
“Giao diện màn hình lừa đảo là một trang HTML được lưu trữ trên một trang web và hiển thị ở chế độ toàn màn hình trên thiết bị, khiến nó trông giống như một màn hình hợp pháp. Khi người dùng nhập hình mở khóa hoặc mã PIN, trang web sẽ gửi mã PIN hoặc thông tin chi tiết về hình mở khóa, cùng với mã định danh thiết bị duy nhất (ID Android) đến một tập lệnh PHP”, Zimperium giải thích.
Hình 2. Màn hình khóa Android giả mạo
Việc đánh cắp mã PIN cho phép kẻ tấn công mở khóa thiết bị khi thiết bị không được giám sát chặt chẽ, có thể là vào lúc đêm khuya, để thực hiện hành vi gian lận trên thiết bị.
Do cơ sở hạ tầng C2 không được bảo mật đúng cách, các nhà nghiên cứu của Zimperium đã có thể xác định rằng ít nhất 13.000 nạn nhân bị ảnh hưởng bởi TrickMo, hầu hết ở Canada và một số lượng đáng kể ở Các Tiểu vương quốc Ả Rập Thống nhất, Thổ Nhĩ Kỳ và Đức.
Hình 3. Khu vực bị ảnh hưởng bởi TrickMo
Theo Zimperium, tệp danh sách IP được cập nhật thường xuyên bất cứ khi nào phần mềm độc hại đánh cắp thành công thông tin đăng nhập. Các nhà nghiên cứu phát hiện ra hàng triệu bản ghi trong các tệp này, cho thấy số lượng lớn các thiết bị bị xâm phạm và lượng lớn dữ liệu nhạy cảm bị các tác nhân đe dọa đánh cắp.
Hãng bảo mật Cleafy (Ý) trước đây đã không tiết lộ các chỉ số thỏa hiệp (IOC) do cơ sở hạ tầng C2 của những kẻ tấn công có thể làm lộ dữ liệu của nạn nhân cho cộng đồng tội phạm mạng rộng lớn hơn. Zimperium hiện đã chọn công khai mọi thứ trong tại đây.
Tuy nhiên, phạm vi nhắm mục tiêu của TrickMo có vẻ đủ rộng để bao gồm các loại ứng dụng (tài khoản) ngoài ngân hàng, bao gồm VPN, nền tảng phát trực tuyến, nền tảng thương mại điện tử, giao dịch, phương tiện truyền thông xã hội, tuyển dụng và nền tảng doanh nghiệp.
Các nhà nghiên cứu cho biết TrickMo đang lây lan với tốc độ khá nhanh qua hình thức lừa đảo trực tuyến, vì vậy để giảm thiểu khả năng bị nhiễm, người dùng cần tránh tải xuống tệp APK từ URL được gửi qua SMS hoặc tin nhắn trực tiếp từ những người lạ không quen biết.
Google Play Protect có thể xác định và chặn các biến thể đã biết của TrickMo, do đó, người dùng nên đảm bảo ứng dụng này được bật trên thiết bị và rà quét thường xuyên để bảo vệ chống lại TrickMo cũng như các mối đe dọa khác.
Hữu Tài
(Tổng hợp)
10:00 | 30/08/2024
10:00 | 04/11/2024
12:00 | 03/10/2024
10:00 | 04/11/2024
07:00 | 23/09/2024
14:00 | 06/12/2024
09:00 | 18/11/2024
16:00 | 18/12/2024
Các nhà nghiên cứu của hãng bảo mật Cleafy (Ý) đã đưa ra cảnh báo về một loại phần mềm độc hại ngân hàng Android mới có tên là DroidBot, hiện đang nhắm mục tiêu để đánh cắp thông tin đăng nhập của hơn 77 sàn giao dịch tiền điện tử và ứng dụng ngân hàng tại Vương quốc Anh, Ý, Pháp, Tây Ban Nha và Bồ Đào Nha.
16:00 | 27/11/2024
Ngày nay, cụm từ "chuỗi cung ứng" đã vô cùng phổ biến trong những câu chuyện đời sống hàng ngày và trở thành một yếu tố then chốt trong nền kinh tế toàn cầu, đóng vai trò quan trọng trong việc sản xuất và phân phối hàng hóa và dịch vụ. Đây cũng là mục tiêu mà tội phạm công nghệ cao nhắm tới bằng phần mềm độc hại hay nhiều cách thức khác nhau.
15:00 | 12/11/2024
Theo các nhà nghiên cứu bảo mật, một trong những cuộc tấn công chuỗi cung ứng kỹ thuật số lớn nhất trong năm 2024 đã được thực hiện bởi một công ty ít tên tuổi, chuyển hướng một lượng lớn người dùng internet đến một mạng lưới các trang web cờ bạc nhái.
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
Một lỗ hổng mới trong cơ chế UEFI Secure Boot, được theo dõi với mã CVE-2024-7344, đã được phát hiện, cho phép kẻ tấn công triển khai bootkit ngay cả khi Secure Boot đang được kích hoạt.
14:00 | 24/01/2025