Một loại phần mềm độc hại ngân hàng di động mới đã được phát hiện lạm dụng các tính năng trợ năng của Android để lọc dữ liệu nhạy cảm khỏi các ứng dụng tài chính, đọc tin nhắn SMS của người dùng và chiếm đoạt mã xác thực hai yếu tố dựa trên SMS.
Được các nhà nghiên cứu của Cyberory gọi là “EventBot”, phần mềm độc hại có khả năng nhắm mục tiêu hơn 200 ứng dụng tài chính khác nhau, bao gồm ngân hàng, dịch vụ chuyển tiền và ví tiền điện tử như Paypal Business, Revolut, Barclays, CapitalOne, HSBC, Santander, TransferWise, và Cơ sở tiền xu.
“EventBot đặc biệt thú vị bởi vì nó đang ở giai đoạn đầu như vậy”, Các nhà nghiên cứu nói. “Phần mềm độc hại hoàn toàn mới này có tiềm năng thực sự để trở thành phần mềm độc hại di động lớn tiếp theo, vì nó được cải tiến liên tục, lạm dụng tính năng hệ điều hành quan trọng và nhắm mục tiêu các ứng dụng tài chính.”
Chiến dịch, lần đầu tiên được xác định vào tháng 3 năm 2020, che giấu mục đích xấu của nó bằng cách đặt ra các ứng dụng hợp pháp (ví dụ: Adobe Flash, Microsoft Word) trên các cửa hàng APK lừa đảo và các trang web mờ ám khác, khi được cài đặt, yêu cầu quyền rộng rãi trên thiết bị.
Các quyền bao gồm quyền truy cập vào cài đặt trợ năng, khả năng đọc từ bộ nhớ ngoài, gửi và nhận tin nhắn SMS, chạy trong nền và tự khởi chạy sau khi khởi động hệ thống.
Nếu người dùng cấp quyền truy cập, EventBot hoạt động như một keylogger và có thể “truy xuất thông báo về các ứng dụng và nội dung đã cài đặt khác của cửa sổ mở”, ngoài việc khai thác các dịch vụ trợ năng của Android để lấy mã PIN màn hình khóa và truyền tất cả dữ liệu được thu thập ở định dạng được mã hóa sang định dạng được mã hóa máy chủ điều khiển kẻ tấn công.
Khả năng phân tích tin nhắn SMS cũng khiến trojan ngân hàng trở thành một công cụ hữu ích để vượt qua xác thực hai yếu tố dựa trên SMS, từ đó giúp đối thủ dễ dàng truy cập vào ví tiền điện tử của nạn nhân và đánh cắp tiền từ tài khoản ngân hàng.
Đây không phải là lần đầu tiên phần mềm độc hại di động nhắm vào các dịch vụ tài chính. Tháng trước, các nhà nghiên cứu IBM X-Force đã trình bày chi tiết về một chiến dịch TrickBot mới, được gọi là Thủ thuật, đã được tìm thấy độc quyền nhắm mục tiêu người dùng Đức có phần mềm độc hại sử dụng sai các tính năng trợ năng để chặn mật khẩu một lần (OTP), TAN di động (mTAN) và mã xác thực PushTAN.
“Cho phép kẻ tấn công truy cập vào thiết bị di động có thể gây ra hậu quả kinh doanh nghiêm trọng, đặc biệt là nếu người dùng cuối đang sử dụng thiết bị di động của họ để thảo luận về các chủ đề kinh doanh nhạy cảm hoặc truy cập thông tin tài chính doanh nghiệp”, các nhà nghiên cứu của Cyberory kết luận. “Điều này có thể dẫn đến suy thoái thương hiệu, mất danh tiếng cá nhân hoặc mất niềm tin của người tiêu dùng.”
Nhóm ứng dụng độc hại của EventBot có thể không hoạt động trên Google Play Store, nhưng đó là một lời nhắc nhở khác về lý do tại sao người dùng nên bám vào các cửa hàng ứng dụng chính thức và tránh tải ứng dụng từ các nguồn không đáng tin cậy. Luôn cập nhật phần mềm và bật Google Play Protect cũng có thể giúp bảo vệ các thiết bị khỏi phần mềm độc hại.
