Mã độc Trojan mới Octo nhắm mục tiêu vào các tổ chức tài chính

09:00 | 21/04/2022 | HACKER / MALWARE

Hơn 50.000 lượt tải về các ứng dụng giả mạo trên Google Play đang được sử dụng để nhắm tới các ngân hàng và các tổ chức tài chính trên toàn thế giới.

Mã độc Trojan mới Octo nhắm mục tiêu vào các tổ chức tài chính

Hình 1. Các mô-đun của mã độc trojan Octo trên Android

Mã độc Trojan mới có tên là Octo trên Android nhắm tới các mục tiêu là ngân hàng, được cho là một trong những biến thể của một phần mềm độc hại trên Android khác có tên là Exobot Compact – được phát hiện vào năm 2019 khi tấn công các ngân hàng ở Mỹ La-tinh. Một biến thể khác của Exobot Compact là Coper được phát hiện vào khoảng tháng 7/2021 ở Colombia, sau đó lan rộng ra các quốc gia ở Châu Âu. Loại phần mềm độc hại này thường được biết đến với việc mạo danh các ứng dụng tổ chức tài chính có tên Bancolombia Personas. Các phiên bản mới hơn của phần mềm độc hại Coper cũng bắt đầu sử dụng các ứng dụng tiện ích mạo danh.

Hình 2. Mã chương trình thực thi Coper

Giống như các mã độc trojan trên Android nhắm mục tiêu vào các ngân hàng, trojan Octo hay Coper thực thi dựa trên trình thả Dropper – một chương trình hoặc một tập tin được sử dụng để cài đặt các rootkit trên thiết bị mục tiêu. Dưới đây là danh sách các trình thả Droppers của Octo và Coper được sử dụng bởi các tác nhân đe dọa:

Pocket Screencaster (com[.]moh[.]screen)
Fast Cleaner 2021 (vizeeva[.]fast[.]cleaner)
Play Store (com[.]restthe71)
Postbank Security (com[.]carbuildz)
Pocket Screencaster (com[.]cutthousandjs)
BAWAG PSK Security (com[.]frontwonder2)
Play Store app install (com[.]theseeye5)

Các ứng dụng này, đóng vai trò là trình cài đặt ứng dụng trên cửa hàng Google Play, có khả năng ghi lại màn hình và thu thập thông tin từ các ứng dụng giao dịch tài chính, được phân phối thông qua cửa hàng Google Play hoặc qua các trang web lừa đảo nhằm yêu cầu người dùng tải xuống bản cập nhật trình duyệt.

Hình 3. Một số hình thức gian lận trên thiết bị di động

Các trình thả Droppers, sau khi được cài đặt hoạt động như một đường dẫn để khởi chạy trojan. Khi Dropper được thực thi, nó sẽ giải nén các đoạn mã độc lên thiết bị. Thông thường, một dropper nhúng các đoạn mã nhị phân vào trong phần Resource của tập tin thực thi. Để trích xuất, các tập tin thực thi trong phần Resource của Dropper được giải nén bằng cách sử dụng các thủ tục gọi hàm API như là FindResource(), LoadResource(), LockResource() và SizeOfResource().

Hình 4. Tập tin thực thi được nhúng vào trong phần Resource của Dropper

Octo - phiên bản nâng cấp của ExobotCompact, được cài đặt để thực hiện gian lận trên thiết bị bằng cách giành quyền điều khiển từ xa đối với các thiết bị di động thông qua tận dụng quyền trợ năng cũng như API MediaProjection của Android để ghi lại nội dung màn hình cũng như có khả năng chia sẻ màn hình ứng dụng trong thời gian thực.

Theo công ty bảo mật ThreatFnai của Hà Lan cho biết, mục tiêu cuối cùng của mã độc trojan Octo là kích hoạt tự động thực hiện các giao dịch gian lận và cung cấp khả năng ủy quyền thực thi mà không cần thông qua tổ chức, do đó cho phép gian lận trên quy mô lớn. Các tính năng đáng chú ý khác của Octo bao gồm: khả năng lưu lại các lần gõ phím, khả năng thực hiện các cuộc tấn công lớp phủ (overlay attack) vào các ứng dụng ngân hàng để đánh cắp thông tin xác thực, thông tin giao dịch, cũng như cung cấp các biện pháp thích ứng nhằm ngăn chặn việc gỡ cài đặt ứng dụng và lẩn tránh trước các công cụ diệt virus.

Trương Đình Dũng

(tổng hợp)

‹ › ×

Tin liên quan

Ứng dụng xác thực hai lớp có khả năng cài đặt trojan độc hại trên thiết bị của người dùng

15:00 | 17/02/2022

Một ứng dụng xác thực hai lớp trên Google Play Store có khả năng cài đặt trojan độc hại trên thiết bị của người dùng.

Giải mã FFDroider – Mã độc đánh cắp thông tin mới nhất

09:00 | 29/04/2022

Số lượng các cuộc tấn công đánh cắp thông tin đang có xu hướng gia tăng trong thời gian gần đây. Đáng lưu ý có thể kể đến FFDroider – một kiểu mã độc được ngụy trang dưới ứng dụng Telegram, với mục tiêu chiếm đoạt các tài khoản trên mạng xã hội. Bài báo sau đây sẽ giới thiệu tới quý độc giả chi tiết về mã độc nguy hiểm này.

42 nghìn trang web mạo danh các thương hiệu nổi tiếng được sử dụng để gài bẫy người dùng

16:00 | 23/11/2022

Một nhóm tin tặc có tên Fangxiao đã tạo ra một mạng lưới khổng lồ gồm hơn 42 nghìn tên miền website mạo danh các thương hiệu nổi tiếng để chuyển hướng người dùng đến các trang web, ứng dụng quảng cáo, trang web hẹn hò hoặc quà tặng miễn phí.

Phát hiện Trojan Android đánh cắp hơn 300.000 tài khoản Facebook

14:00 | 09/12/2022

Một chiến dịch đánh cắp tài khoản Facebook vừa được phát hiện với hơn 300.000 tài khoản bị tấn công, chủ yếu tại Việt Nam, Trojan Android này đã giả dạng các ứng dụng giáo dục để thực hiện hành vi đánh cắp thông tin đăng nhập tài khoản Facebook từ các thiết bị bị nhiễm.

Phát hiện ứng dụng độc hại chiếm đoạt tài khoản ngân hàng được phân phối trên cửa hàng Google Play

09:00 | 25/11/2022

Các chuyên gia tại nhóm bảo mật ThreatLabz Zscaler (Mỹ) phát hiện ra trojan ngân hàng Xenomorph trong ứng dụng “Todo: Day manager” trên cửa hàng Google Play. Với hơn 1.000 lượt tải xuống trên nền tảng Android - đây là phần mềm mới nhất trong chuỗi phần mềm độc hại được phân phối thông qua Google Play trong 3 tháng qua.

Các ứng dụng của Google Play chứa phần mềm độc hại Facestealer

09:00 | 19/05/2022

Các nhà nghiên cứu vừa phát hiện ra các phần mềm độc hại được thiết kế để đánh cắp thông tin đăng nhập tài khoản Facebook của người dùng trên nền tảng Android. Hiện tại những phần mềm này vẫn tồn tại trên các ứng dụng của Google Play.

Lỗ hổng nguy hiểm trong PLC Rockwell có thể cho phép tin tặc triển khai mã độc hại

10:00 | 08/04/2022

Hai lỗ hổng nghiêm trọng mới đây vừa được các nhà nghiên cứu tại công ty bảo mật Claroty (Mỹ) phát hiện trong bộ điều khiển lập trình (programmable logic controller - PLC) và phần mềm máy trạm kỹ thuật (engineering workstation software) do tập đoàn công nghệ Rockwell Automation phát triển, có thể bị tin tặc lợi dụng để cài đặt mã độc vào các hệ thống bị ảnh hưởng và bí mật sửa đổi các quy trình tự động hóa.

Giải pháp phát hiện Trojan phần cứng tấn công mạng tạo số ngẫu nhiên thực

09:00 | 09/01/2023

Trojan phần cứng (Hardware Trojan - HT) là một biến thể của thiết kế IC nguyên bản (sạch, tin cậy) bị cổ ý chèn thêm các linh kiện vào IC để cho phép truy cập hoặc làm thay đổi thông tin lưu trữ (xử lý) ở bên trong chip. Các HT không chỉ là đe dọa lý thuyết an toàn mà còn trở thành phương tiện tấn công tiềm ẩn, đặc biệt đối với các mạch tạo số ngẫu nhiên, giữ vai trò quan trọng trong các hoạt động xử lý bảo mật và an toàn thông tin. Bộ tạo số ngẫu nhiên (True Random Number Generator - TRNG) được dùng làm điểm khởi đầu để sinh ra các khóa mật mã nhằm bảo đảm tính tin cậy cho các phép toán trong hệ mật. Vì vậy, TRNG là mục tiêu hấp dẫn đối với tấn công cố ý bằng HT. Bài báo áp dụng phương pháp tạo số ngẫu nhiên thực TRNG, thiết kế T4RNG (Trojan for Random Number Generators) làm suy giảm chất lượng các số ngẫu nhiên ở đầu ra của bộ tạo, mô tả các đặc tính của Trojan T4RNG và đưa ra kết quả thống kê phát hiện ra Trojan này dựa vào công cụ đánh giá AIS-31[2] và NIST SP-22 [3].

Microsoft tìm thấy phần mềm độc hại FoxBlade trong các hệ thống của Ukraine

15:00 | 19/03/2022

Microsoft thông báo rằng họ đã tìm thấy một phần mềm độc hại mới mang tên FoxBlade vài giờ trước khi Nga bắt đầu xung đột với Ukraine vào ngày 24/2/2022.

Tin cùng chuyên mục

AT&T xác nhận dữ liệu của 73 triệu khách hàng bị rò rỉ

13:00 | 05/04/2024

Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.

Giải mã chiến dịch phân phối phần mềm độc hại PikaBot của tin tặc Water Curupia

14:00 | 01/03/2024

Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.

Tin tặc lợi dụng khai thác MultiLogin của Google để chiếm quyền điều khiển phiên người dùng

10:00 | 31/01/2024

Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.

Hãng viễn thông lớn nhất Ukraine bị tấn công mạng

15:00 | 18/12/2023

Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.