Trojan Android nhắm mục tiêu ngân hàng, tiền ảo, thương mại điện tử

Trojan Android nhắm mục tiêu ngân hàng, tiền ảo, thương mại điện tử

March 29, 2019 | vietsunshine

Một Trojan Android được phát hiện gần đây đang nhắm mục tiêu đến người dùng của một loạt các dịch vụ, bao gồm các ngân hàng quốc tế, dịch vụ tiền điện tử và các trang web thương mại điện tử, báo cáo Group-IB.

Được đặt tên là Gustuff, gói phần mềm độc hại hoàn toàn tự động được thiết kế để đánh cắp cả tiền và tiền điện tử từ các nạn nhân. Nó tận dụng Accessibility Service và nhắm mục tiêu danh sách liên lạc trên các thiết bị bị nhiễm để lây lan qua tin nhắn SMS có liên kết đến APK độc hại.

Trojan bao gồm các trang web giả mạo để nhắm mục tiêu người dùng di động của các ngân hàng như Bank of America, Bank of Scotland, J.P.Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank và các dịch vụ tiền điện tử như Bitcoin Wallet, BitPay, Cryptopay, Coinbase.

Nhìn chung, mối đe dọa có thể nhắm mục tiêu đến người dùng của hơn 100 ứng dụng ngân hàng, bao gồm 27 ở Mỹ, 16 ở Ba Lan, 10 ở Úc, 9 ở Đức và 8 ở Ấn Độ và người dùng của 32 ứng dụng tiền điện tử, các nhà nghiên cứu bảo mật của Group-IB giải thích trong một báo cáo được chia sẻ.

Theo thời gian, Gustuff đã mở rộng danh sách các mục tiêu tiềm năng, hiện cũng nhắm mục tiêu các chương trình Android của các công ty fintech, người dùng ứng dụng của marketplaces, cửa hàng trực tuyến, hệ thống thanh toán và trình nhắn tin, bao gồm PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut…

Các nhà nghiên cứu cho biết, Gustuff dường như được thiết kế để lây nhiễm hàng loạt, do sử dụng ATS (Automatic Transfer Systems), một tính năng độc đáo để tự động điền vào các trường trong các ứng dụng ngân hàng di động hợp pháp, ví tiền điện tử và các ứng dụng khác, cả tốc độ và quy mô trộm cắp. Chức năng ATS tận dụng Accessibility Service.

Mặc dù Gustuff không phải là Trojan đầu tiên lạm dụng Android Accessibility của Android để tương tác với các ứng dụng khác, nhưng việc sử dụng chức năng này để thực hiện ATS cho đến nay vẫn là một trường hợp tương đối hiếm gặp, nhóm Group-IB cho biết.

Gustuff cũng có thể hiển thị thông báo đẩy giả với các biểu tượng hợp pháp của các ứng dụng được nhắm mục tiêu, để phân phát trang giả và hỏi chi tiết cá nhân hoặc thanh toán (thẻ/ví) của người dùng hoặc để khởi chạy ứng dụng hợp pháp và tự động điền vào các trường thanh toán cho các giao dịch bất hợp pháp.

Phần mềm độc hại cũng gửi thông tin về thiết bị bị nhiễm đến máy chủ chỉ huy và kiểm soát (C&C), có thể đọc/gửi tin nhắn SMS, gửi yêu cầu USSD, khởi chạy SOCKS5 Proxy, theo liên kết, chuyển tệp (quét tài liệu, ảnh chụp màn hình, ảnh) cho C&C máy chủ và đặt lại thiết bị về cài đặt gốc.

Các tác giả của Trojan, được cho là một tội phạm mạng nói tiếng Nga, nhưng Gustuff hoạt động độc quyền trên thị trường quốc tế, các nhà nghiên cứu bảo mật cho biết. Gustuff lần đầu tiên được quan sát trên các diễn đàn hacker vào tháng 4 năm 2018 dưới dạng phiên bản mới của phần mềm độc hại AndyBot, có giá 800 đô la mỗi tháng.

Tại Nga, sau khi chủ sở hữu các botnet Android lớn nhất bị bắt giữ, số vụ trộm hàng ngày giảm gấp ba lần, hoạt động của Trojans đã trở nên ít phổ biến hơn và các nhà phát triển của họ tập trung vào các thị trường khác. Tuy nhiên, một số tin tặc đã vá các bản vá lỗi (sửa đổi) các mẫu Trojan và sử dụng lại nó trong các cuộc tấn công của chúng vào người dùng ở Nga, ông Rust Rustam Mirkasymov, Trưởng phòng phân tích động của Bộ phần mềm độc hại tại Group-IB, cho biết.

Nguồn: Android Trojan Targets Banks, Crypto-Currencies, e-Commerce

Xem thêm: Android Malware sử dụng cảm biến chuyển động để tránh bị phát hiện

Tags: , ,