Phần mềm độc hại Android phân phối ở Mexico sử dụng Covid-19 để đánh cắp thông tin tài chính

Thứ hai, 13/09/2021 | 00:00 GMT+7
Nhóm nghiên cứu phần mềm độc hại di động McAfee đã xác định phần mềm độc hại nhắm mục tiêu đến Mexico. Nó đóng vai trò như một công cụ ngân hàng bảo mật hoặc như một ứng dụng ngân hàng được thiết kế để báo cáo một máy ATM không hoạt động.

Trong cả hai trường hợp, phần mềm độc hại dựa trên cảm giác khẩn cấp được tạo ra bởi các công cụ được thiết kế để ngăn chặn gian lận nhằm khuyến khích các mục tiêu sử dụng chúng. Phần mềm độc hại này có thể đánh cắp các yếu tố xác thực quan trọng để truy cập tài khoản từ nạn nhân của họ trên các tổ chức tài chính được nhắm mục tiêu ở Mexico. 

McAfee Mobile Security đang xác định mối đe dọa này là Android / Banker.BT cùng với các biến thể của nó. 

Phần mềm độc hại này lây lan như thế nào?  

Phần mềm độc hại được phân phối bởi một trang lừa đảo độc hại cung cấp các mẹo bảo mật ngân hàng thực tế (được sao chép từ trang web ban đầu của ngân hàng) và khuyến nghị tải xuống các ứng dụng độc hại làm công cụ bảo mật hoặc như một ứng dụng để báo cáo ATM không hoạt động. Rất có thể một chiến dịch đánh lừa có liên quan đến mối đe dọa này như một phần của phương thức phân phối hoặc cũng có thể nạn nhân có thể được liên hệ trực tiếp bằng các cuộc điện thoại lừa đảo do bọn tội phạm thực hiện, một hiện tượng phổ biến ở Mỹ Latinh. May mắn thay, mối đe dọa này vẫn chưa được xác định trên Google Play. 

Đây là cách tự bảo vệ mình  

Trong thời kỳ đại dịch, các ngân hàng đã áp dụng những cách mới để tương tác với khách hàng của họ. Những thay đổi nhanh chóng này có nghĩa là khách hàng sẵn sàng chấp nhận các quy trình mới hơn và cài đặt các ứng dụng mới như một phần của 'bình thường mới' để tương tác từ xa. Nhận thấy điều này, bọn tội phạm mạng đã giới thiệu các trò gian lận và tấn công lừa đảo mới trông đáng tin hơn những cuộc tấn công trước đây khiến khách hàng dễ bị ảnh hưởng hơn. 

May mắn thay, McAfee Mobile Security có thể phát hiện ra mối đe dọa mới này là Android / Banker.BT. Để bảo vệ bạn khỏi điều này và các mối đe dọa tương tự: 

  • Sử dụng phần mềm bảo mật trên thiết bị di động của bạn 
  • Hãy suy nghĩ kỹ trước khi tải xuống và cài đặt các ứng dụng đáng ngờ, đặc biệt nếu chúng yêu cầu quyền của người nghe Thông báo hoặc SMS. 
  • Sử dụng các cửa hàng ứng dụng chính thức, tuy nhiên, đừng bao giờ tin tưởng chúng một cách mù quáng vì phần mềm độc hại cũng có thể được phân phối trên các cửa hàng này, vì vậy hãy kiểm tra quyền, đọc đánh giá và tìm kiếm thông tin nhà phát triển nếu có. 
  • Sử dụng các ứng dụng yếu tố xác thực thứ hai dựa trên mã thông báo (phần cứng hoặc phần mềm) qua xác thực tin nhắn SMS 

Quan tâm đến các chi tiết? Dưới đây là thông tin chi tiết về phần mềm độc hại này  

Phần mềm độc hại Android phân phối ở Mexico sử dụng Covid-19 để đánh cắp thông tin tài chính
Hình 1- Trang web phân phối phần mềm độc hại lừa đảo cung cấp các mẹo bảo mật

Hành vi: hướng dẫn nạn nhân cung cấp thông tin xác thực của họ 

Sau khi ứng dụng độc hại được cài đặt và khởi động, hoạt động đầu tiên sẽ hiển thị một thông báo bằng tiếng Tây Ban Nha giải thích mục đích giả mạo của ứng dụng: 

- Công cụ giả mạo để báo cáo các chuyển động gian lận tạo ra cảm giác cấp bách: 

Phần mềm độc hại Android phân phối ở Mexico sử dụng Covid-19 để đánh cắp thông tin tài chính
Hình 2- Giới thiệu ứng dụng độc hại cố gắng thu hút người dùng cung cấp thông tin đăng nhập ngân hàng của họ 

“Tên ngân hàng cho phép bạn chặn bất kỳ chuyển động đáng ngờ nào.Tất cả các hoạt động được thông báo trên ứng dụng vẫn đang chờ xử lý. Nếu bạn không chặn được các hành động không được nhận dạng trong vòng chưa đầy 24 giờ, thì họ sẽ tự động tính phí tài khoản của bạn. 

Khi kết thúc quá trình chặn, bạn sẽ nhận được một tin nhắn SMS với thông tin chi tiết về các hoạt động bị chặn ”. 

- Trong trường hợp công cụ giả mạo ATM không thành công để yêu cầu thẻ uy tín mới trong bối cảnh đại dịch, có một văn bản tương tự thu hút người dùng cảm giác an toàn sai: 

Phần mềm độc hại Android phân phối ở Mexico sử dụng Covid-19 để đánh cắp thông tin tài chính
Hình 3- Giới thiệu ứng dụng độc hại của biến thể báo cáo ATM sử dụng đại dịch Covid-19 làm cái cớ để thu hút người dùng cung cấp thông tin đăng nhập ngân hàng của họ

“Là một biện pháp vệ sinh Covid-19, tùy chọn mới này đã được tạo ra. Bạn sẽ nhận được ID qua SMS cho báo cáo của mình và sau đó bạn có thể yêu cầu thẻ mới tại bất kỳ chi nhánh nào hoặc nhận miễn phí tại địa chỉ nhà đã đăng ký của bạn. Báo động! Chúng tôi sẽ không bao giờ yêu cầu dữ liệu nhạy cảm của bạn như NIP hoặc CVV. ”Điều này mang lại sự tin cậy cho ứng dụng vì nó cho biết nó sẽ không yêu cầu một số dữ liệu nhạy cảm; tuy nhiên, nó sẽ yêu cầu thông tin đăng nhập ngân hàng web. 

Nếu nạn nhân nhấn vào “Ingresar” (“truy cập”) thì trojan ngân hàng sẽ yêu cầu quyền SMS và khởi chạy hoạt động để nhập id người dùng hoặc số tài khoản rồi nhập mật khẩu. Trong nền, mật khẩu hoặc 'clave' được truyền đến máy chủ của tội phạm mà không cần xác minh xem thông tin đăng nhập được cung cấp có hợp lệ hay được chuyển hướng đến trang web ngân hàng ban đầu như nhiều trojan ngân hàng khác không. 

Phần mềm độc hại Android phân phối ở Mexico sử dụng Covid-19 để đánh cắp thông tin tài chính
Hình 4- đoạn trích lọc mật khẩu do người dùng nhập

Cuối cùng, một danh sách các giao dịch giả mạo cố định được hiển thị để người dùng có thể thực hiện hành động chặn chúng như một phần của trò lừa đảo tuy nhiên tại thời điểm này, kẻ gian đã có dữ liệu đăng nhập của nạn nhân và quyền truy cập vào tin nhắn SMS trên thiết bị của họ nên chúng có khả năng đánh cắp yếu tố xác thực thứ hai. 

Phần mềm độc hại Android phân phối ở Mexico sử dụng Covid-19 để đánh cắp thông tin tài chính
Hình 5- Danh sách giả mạo các giao dịch gian lận

Trong trường hợp ứng dụng công cụ giả mạo để yêu cầu thẻ mới, ứng dụng sẽ hiển thị thông báo có nội dung ở cuối “Chúng tôi đã tạo ra biện pháp vệ sinh Covid-19 này và chúng tôi mời bạn truy cập các mẹo chống gian lận của chúng tôi, nơi bạn sẽ tìm hiểu cách bảo vệ tài khoản của bạn ”. 

Phần mềm độc hại Android phân phối ở Mexico sử dụng Covid-19 để đánh cắp thông tin tài chính
Hình 6- Chế độ xem cuối cùng sau khi phần mềm độc hại đã lấy được thông tin xác thực của ngân hàng củng cố khái niệm rằng ứng dụng này là một công cụ được tạo ra trong bối cảnh covid-19.

Phần mềm độc hại liên hệ với máy chủ điều khiển và lệnh được lưu trữ trong cùng một miền được sử dụng để phân phối và nó gửi thông tin đăng nhập người dùng và tất cả người dùng tin nhắn SMS qua HTTPS dưới dạng tham số truy vấn (như một phần của URL). Điều này có thể dẫn đến dữ liệu nhạy cảm được lưu trữ trong nhật ký máy chủ web và không chỉ là đích đến cuối cùng của kẻ tấn công. Thông thường, phần mềm độc hại thuộc loại này có khả năng xử lý kém đối với dữ liệu bị đánh cắp, do đó, không có gì ngạc nhiên nếu thông tin này bị rò rỉ hoặc xâm phạm bởi các nhóm tội phạm khác, điều này làm cho loại mối đe dọa này trở nên nguy hiểm hơn đối với nạn nhân. Trên thực tế, trong hình 8 có một ảnh chụp màn hình một phần của trang bị lộ có chứa cấu trúc hiển thị dữ liệu bị đánh cắp. 

Phần mềm độc hại Android phân phối ở Mexico sử dụng Covid-19 để đánh cắp thông tin tài chính
Hình 7 - Phương thức độc hại liên quan đến việc xâm nhập tất cả Tin nhắn SMS từ thiết bị của nạn nhân.

Tiêu đề bảng: Ngày, Từ, Nội dung tin nhắn, Người dùng, Mật khẩu, Id:  

Phần mềm độc hại Android phân phối ở Mexico sử dụng Covid-19 để đánh cắp thông tin tài chính
Hình 8 - Trang tiếp xúc trong C2 có một bảng để hiển thị các tin nhắn SMS được chụp từ các thiết bị bị nhiễm.

Nhân viên ngân hàng di động này là một trò lừa đảo được phát triển từ đầu không liên kết với các kiểu trojan ngân hàng nổi tiếng và mạnh mẽ hơn được thương mại hóa trên thị trường chợ đen giữa bọn tội phạm mạng. Đây rõ ràng là một sự phát triển cục bộ có thể phát triển trong tương lai với một mối đe dọa nghiêm trọng hơn vì mã được dịch ngược cho thấy lớp dịch vụ trợ năng có mặt nhưng không được triển khai, dẫn đến việc nghĩ rằng các tác giả phần mềm độc hại đang cố gắng mô phỏng hành vi độc hại của các họ phần mềm độc hại trưởng thành hơn . Từ quan điểm tự trốn tránh, phần mềm độc hại không đưa ra bất kỳ kỹ thuật nào để tránh phân tích, phát hiện hoặc dịch ngược, đó là dấu hiệu cho thấy nó đang trong giai đoạn phát triển ban đầu. 

IoC 

SHA256: 

  • 84df7daec93348f66608d6fe2ce262b7130520846da302240665b3b63b9464f9 
  • b946bc9647ccc3e5cfd88ab41887e58dc40850a6907df6bb81d18ef0cb340997 
  • 3f773e93991c0a4dd3b8af17f653a62f167ebad218ad962b9a4780cb99b1b7e2 
  • 1deedb90ff3756996f14ddf93800cd8c41a927c36ac15fcd186f8952ffd07ee0 

Tin liên quan