Trojan Banking Android mới đánh cắp thông tin từ 112 ứng dụng tài chính

Trojan Banking Android mới đánh cắp thông tin từ 112 ứng dụng tài chính

November 10, 2020 | vietsunshine

Bốn tháng sau khi các nhà nghiên cứu bảo mật phát hiện ra một “Tetrade” gồm bốn Trojan ngân hàng Brazil nhắm vào các tổ chức tài chính ở Brazil, Mỹ Latinh và Châu Âu, những phát hiện mới cho thấy bọn tội phạm đứng sau hoạt động này đã mở rộng chiến thuật của chúng để lây nhiễm phần mềm gián điệp vào các thiết bị di động.

Theo nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT), nhóm mối đe dọa có trụ sở tại Brazil, Guildma đã triển khai “Ghimob“, một Trojan ngân hàng Android nhắm mục tiêu vào các ứng dụng tài chính từ các ngân hàng, công ty fintech, sàn giao dịch và tiền điện tử ở Brazil, Paraguay, Peru, Bồ Đào Nha , Đức, Angola và Mozambique.

“Ghimob là một gián điệp chính thức trong túi bạn: sau khi quá trình lây nhiễm hoàn tất, tin tặc có thể truy cập thiết bị bị nhiễm từ xa, hoàn thành giao dịch gian lận với điện thoại thông minh của nạn nhân,” công ty an ninh mạng cho biết trong một phân tích hôm thứ Hai.

Ghimob sử dụng email lừa đảo làm cơ chế phân phối phần mềm độc hại, thu hút người dùng không nghi ngờ nhấp vào các URL độc hại tải xuống trình cài đặt Ghimob APK.

Trojan, sau khi được cài đặt trên thiết bị, hoạt động rất giống với các RAT di động khác ở chỗ nó che dấu sự hiện diện của nó bằng cách ẩn biểu tượng khỏi ngăn kéo ứng dụng và lạm dụng các tính năng trợ năng của Android để có được sự bền bỉ, vô hiệu hóa việc gỡ cài đặt thủ công và cho phép trojan ngân hàng bắt được tổ hợp phím, thao tác nội dung màn hình và cung cấp toàn quyền điều khiển từ xa cho kẻ tấn công.

Các nhà nghiên cứu cho biết: “Ngay cả khi người dùng có sẵn kiểu khóa màn hình, Ghimob vẫn có thể ghi lại và sau sử dụng để mở khóa thiết bị.

“Khi tội phạm mạng sẵn sàng thực hiện giao dịch, chúng có thể chèn màn hình đen làm lớp phủ hoặc mở một số trang web ở chế độ toàn màn hình, vì vậy trong khi người dùng nhìn vào màn hình đó, tội phạm sẽ thực hiện giao dịch trong nền bằng cách sử dụng ứng dụng tài chính đang chạy trên điện thoại thông minh của nạn nhân mà người dùng đã mở hoặc đăng nhập.”

Hơn nữa, Ghimob nhắm mục tiêu tới 153 ứng dụng di động, 112 trong số đó là các tổ chức tài chính có trụ sở tại Brazil, với tiền điện tử và ứng dụng ngân hàng ở Đức, Bồ Đào Nha, Peru, Paraguay, Angola và Mozambique chiếm phần còn lại.

Các nhà nghiên cứu của Kaspersky kết luận: “Ghimob là trojan ngân hàng di động đầu tiên của Brazil sẵn sàng mở rộng và nhắm mục tiêu vào các tổ chức tài chính và khách hàng của họ sống ở các quốc gia khác. Trojan đã được chuẩn bị kỹ lưỡng để đánh cắp thông tin xác thực từ các ngân hàng, fintech, sàn giao dịch, sàn giao dịch tiền điện tử và thẻ tín dụng từ các tổ chức tài chính hoạt động ở nhiều quốc gia.”

Nguồn: Watch Out! New Android Banking Trojan Steals From 112 Financial Apps

Tags: , ,