Công ty an ninh mạng Check Point cho biết: Phần mềm độc hại FakeCalls sở hữu chức năng của một "Swiss army knife" (con dao quân đội Thụy Sĩ), nó không chỉ thực hiện mục tiêu chính mà còn trích xuất dữ liệu riêng tư từ thiết bị của nạn nhân. FakeCalls trước đó đã được Kaspersky phát hiện vào tháng 4/2022 và được mô tả với khả năng bắt chước cuộc trò chuyện qua điện thoại với nhân viên hỗ trợ khách hàng của ngân hàng.
Các chuyên gia quan sát thấy rằng trong các cuộc tấn công, khi người dùng cài đặt ứng dụng ngân hàng lừa đảo thì sẽ bị dụ dỗ gọi điện cho một tổ chức tài chính thông qua việc chúng sẽ cung cấp một khoản vay lãi suất thấp giả mạo. Tại thời điểm cuộc điện thoại thực sự diễn ra, một âm thanh được ghi sẵn với hướng dẫn từ ngân hàng sẽ được phát. Đồng thời, phần mềm độc hại che giấu số điện thoại bằng số hợp pháp của ngân hàng để tạo ấn tượng rằng cuộc trò chuyện đang diễn ra với một nhân viên ngân hàng thực tế ở đầu bên kia.
Mục tiêu cuối cùng của chiến dịch là lấy cắp thông tin thẻ tín dụng của nạn nhân, đây là thông tin mà những tin tặc yêu cầu cung cấp để đủ điều kiện cho khoản vay lừa đảo được đưa ra trước đó. Ứng dụng độc hại cũng sẽ yêu cầu các quyền truy cập để thu thập dự liệu nhạy cảm, bao gồm âm thanh và video trực tiếp từ thiết bị bị xâm nhập, sau đó dữ liệu này sẽ được trích xuất đến một máy chủ từ xa.
Các mẫu FakeCalls mới nhất tiếp tục triển khai nhiều kỹ thuật khác nhau, một trong số đó là phương pháp thêm một số lượng lớn tệp bên trong các thư mục nội dung của android package kit (APK), khiến độ dài của tên tệp và đường dẫn vượt quá giới hạn 300 ký tự. Check Point cho biết: “Các tin tặc đã triển khai một số kỹ thuật giúp cho Fakecalls chống bị phân tích một cách hiệu quả. Ngoài ra, chúng đã tạo ra một số cơ chế để ngụy trang trước các hoạt động kiểm soát của máy chủ”.
Quy trình thực hiện lừa đảo bằng Fakecalls
Tuy hiện nay cuộc tấn công chỉ tập trung vào Hàn Quốc nhưng công ty an ninh mạng đã cảnh báo rằng các chiến thuật tương tự có thể được tái sử dụng để nhắm mục tiêu vào các khu vực khác trên thế giới. Bên cạnh đó, Cyble cũng làm sáng tỏ và đưa ra hai trojan ngân hàng trên Android có tên là Nexus và GoatRAT có thể thu thập dữ liệu có giá trị và thực hiện gian lận tài chính.
Nexus, một phiên bản SOVA được đổi thương hiệu, cũng tích hợp một mô-đun mã độc tống tiền mã hóa các tệp được lưu trữ và có thể lạm dụng các dịch vụ trợ năng của Android để trích xuất các thông tin gốc từ ví tiền điện tử. Ngược lại, GoatRAT được thiết kế để nhắm mục tiêu vào các ngân hàng Brazil và tham gia cùng với BrasDex và PixPirate để thực hiện chuyển tiền gian lận qua nền tảng thanh toán PIX trong khi hiển thị "fake overlay window" để che giấu hoạt động.
Các ứng dụng này là một phần của xu hướng đang phát triển, trong đó các tác nhân đe dọa đã phát tán phần mềm độc hại ngân hàng ngày càng tinh vi để tự động hóa toàn bộ quá trình chuyển tiền trái phép trên các thiết bị bị nhiễm. Công ty an ninh mạng Kaspersky cho biết họ đã phát hiện 196.476 trojan ngân hàng và 10.543 trojan mã độc tống tiền trên thiết bị di động mới vào năm 2022, trong đó Trung Quốc, Syria, Iran, Yemen và Iraq là những quốc gia hàng đầu bị phần mềm độc hại trên thiết bị di động này tấn công, bao gồm cả phần mềm quảng cáo.
Tây Ban Nha, Ả Rập Saudi, Úc, Thổ Nhĩ Kỳ, Trung Quốc, Thụy Sĩ, Nhật Bản, Colombia, Ý và Ấn Độ dẫn đầu danh sách các quốc gia hàng đầu bị nhiễm các mối đe dọa tài chính trên thiết bị di động. Nhà nghiên cứu Tatyana Shishkova của Kaspersky cho biết: "Mặc dù tổng số người cài đặt phần mềm độc hại đã giảm, nhưng sự gia tăng liên tục của trojan ngân hàng là một dấu hiệu rõ ràng cho thấy tội phạm mạng đang tập trung vào lợi ích tài chính".
Phương Thanh (Theo The Hacker News)
10:00 | 16/02/2023
15:00 | 19/01/2023
10:00 | 18/01/2023
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.
10:00 | 08/05/2024