Cảnh báo Trojan ngân hàng Android mới đánh cắp thông tin đăng nhập của người dùng

16:00 | 14/05/2021 | HACKER / MALWARE

Ngày 10/5/2021, các nhà nghiên cứu an ninh mạng đã tiết lộ một Trojan Android mới chiếm đoạt thông tin đăng nhập và tin nhắn SMS của người dùng để tạo điều kiện cho các hoạt động gian lận, chống lại các ngân hàng ở Tây Ban Nha, Đức, Ý, Bỉ và Hà Lan.

Cảnh báo Trojan ngân hàng Android mới đánh cắp thông tin đăng nhập của người dùng

Được gọi là TeaBot (hay Anatsa), phần mềm độc hại này được cho là đang trong giai đoạn phát triển ban đầu, với các cuộc tấn công độc hại nhắm vào các ứng dụng tài chính bắt đầu vào cuối tháng 3/2021. Sau đó là một đợt lây nhiễm vào tuần đầu tiên của tháng 5/2021 tại các ngân hàng Bỉ và Hà Lan. Những dấu hiệu đầu tiên của hoạt động TeaBot đã xuất hiện vào tháng 01/2021.

Theo công ty an ninh mạng và phòng chống gian lận trực tuyến Cleafy (Ý) cho biết: “Mục tiêu chính của TeaBot là đánh cắp thông tin đăng nhập và tin nhắn SMS của nạn nhân để tạo ra các kịch bản gian lận dựa trên danh sách các ngân hàng được xác định trước. Khi TeaBot được cài đặt thành công trong thiết bị của nạn nhân, tin tặc có thể có được hình ảnh phát trực tiếp của màn hình thiết bị (theo yêu cầu) và cũng có thể tương tác với nó thông qua Dịch vụ trợ năng”.

Một số ứng dụng Android giả mạo là các dịch vụ chuyển phát tệp và phương tiện như TeaTV, VLC Media Player, DHL và UPS hoạt động chậm rãi không chỉ tải payload ở giai đoạn hai mà còn buộc nạn nhân phải cấp cho nó quyền dịch vụ trợ năng.

Ứng dụng VLC Media Player giả mạo là các dịch vụ chuyển phát tệp và phương tiện

Trong liên kết cuối cùng của chuỗi tấn công, TeaBot khai thác quyền truy cập để đạt được tương tác thời gian thực với thiết bị bị xâm nhập, cho phép tin tặc ghi lại các lần gõ phím, ngoài việc chụp ảnh màn hình và đưa các lớp phủ độc hại lên trên màn hình đăng nhập của các ứng dụng ngân hàng để đánh cắp thông tin xác thực và thông tin thẻ tín dụng của người dùng.

Ngoài ra, TeaBot còn có khả năng tắt Google Play Protect, chặn tin nhắn SMS và truy cập mã 2FA của Google Authenticator. Thông tin thu thập được sau đó sẽ được trích xuất sau mỗi 10 giây đến một máy chủ từ xa do tin tặc điều khiển.

Gần đây, xu hướng phần mềm độc hại Android lạm dụng các dịch vụ trợ năng như một bước đệm để thực hiện hành vi đánh cắp dữ liệu đang có dấu hiệu gia tăng. Kể từ đầu năm 2021, ít nhất 03 họ phần mềm độc hại khác nhau (Oscorp, BRATA và FluBot) đã sử dụng tính năng này để giành toàn quyền kiểm soát các thiết bị nhiễm độc hại.

Điều thú vị là TeaBot đã sử dụng cùng một mồi nhử như của Flubot, bằng cách giả mạo là các ứng dụng vận chuyển vô hại để đánh lừa sự phân bổ và nằm trong tầm ngắm. Các đợt lây nhiễm FluBot gia tăng đã khiến Đức và Anh phải đưa ra cảnh báo vào tháng 4/2021, cảnh báo về các cuộc tấn công đang diễn ra thông qua tin nhắn SMS lừa đảo lừa người dùng cài đặt phần mềm gián điệp đánh cắp mật khẩu và các dữ liệu nhạy cảm khác.

Nguyễn Chân

(theo thehackernews.com)

‹ › ×

Tin liên quan

Trojan RansomEXX tấn công hệ thống Linux

08:00 | 03/02/2021

Trong thời gian gần đây, các chuyên gia phân tích mã độc đã phát hiện ra một loại Trojan mã hóa mới được thiết kế dưới dạng tệp thực thi ELF, nhằm mục đích mã hóa dữ liệu trên các máy tính sử dụng hệ điều hành Linux.

5 ứng dụng Android bị Trojan hoá theo dõi người dùng Pakistan

14:00 | 21/01/2021

Mới đây, các nhà nghiên cứu an ninh mạng đã kết thúc hoạt động của một phần mềm gián điệp nhắm mục tiêu người vào dùng ở Pakistan, sử dụng các phiên bản đã được trojan hóa trên các ứng dụng Android hợp pháp để thực hiện theo dõi và gián điệp bí mật.

Gia tăng tấn công mạng tại Thụy Sỹ

14:00 | 22/02/2022

Trường đại học Neuchâtel của Thụy Sỹ đã trở thành nạn nhân mới nhất của một cuộc tấn công mạng vào cuối tuần qua. Mặc dù, trang web của trường đại học này đã hoạt động trở lại, tuy nhiên các nhà chức trách hiện vẫn đang tiếp tục điều tra về quy mô của cuộc tấn công.

Ứng dụng Craftsart Cartoon Photo Tools trên Play Store đánh cắp thông tin đăng nhập của người dùng

13:00 | 24/03/2022

Craftsart Cartoon Photo Tools là một ứng dụng phổ biến trên Play Store với hơn 100.000 lượt cài đặt. Đây là một phần mềm gián điệp có khả năng đánh cắp thông tin đăng nhập các tài khoản mạng xã hội của người dùng. Ứng dụng này đã bị chèn một phiên bản của phần mềm độc hại Facestealer dành cho hệ điều hành Android.

Microsoft cảnh báo chiến dịch phần mềm độc hại phát tán Trojan giả dạng mã độc tống tiền

15:00 | 10/06/2021

Mới đây, nhóm bảo mật của Microsoft đã công bố chi tiết về một chiến dịch phần mềm độc hại phát tán một loại Trojan truy cập từ xa có tên là STRRAT, đánh cắp dữ liệu từ các hệ thống bị nhiễm, giả dạng dưới một cuộc tấn công mã độc tống tiền.

Phát hiện mã độc đánh cắp dữ liệu trên Android sử dụng công nghệ Virtual Network Computing

08:00 | 26/08/2021

Các chuyên gia bảo mật tại Threat Fabric (Hà Lan) vừa phát hiện một trojan trên Android với tên gọi Vultur, có khả năng ghi lại mọi hoạt động trên màn hình điện thoại, từ đó đánh cắp những thông tin cá nhân quan trọng của người dùng, bao gồm tài khoản ngân hàng và tiền điện tử.

8 ứng dụng trên Android gây lộ tài khoản ngân hàng

17:00 | 02/07/2021

Công ty Quick Heal Security Labs đã tiết lộ rằng, 8 ứng dụng có mặt trên các thiết bị sử dụng hệ điều hành Android đã bị nhiễm phần mềm độc hại Joker. Qua đó, có thể làm lộ thông tin để tin tặc đánh cắp tài khoản ngân hàng của người dùng.

Phát tán phần mềm độc hại Agent Tesla núp bóng đại dịch

20:00 | 30/06/2021

Trong bối cảnh đại dịch COVID-19 đang gây ra những ảnh hưởng nghiêm trọng đến các hoạt động trong đời sống xã hội. Tin tặc đã tận dụng triệt để các vấn đề liên quan đến tình hình dịch bệnh cũng như các kế hoạch tiêm vaccine để tăng cường các cuộc tấn công lừa đảo. Các cuộc tấn công này thường sử dụng các phương thức không mới, tuy nhiên khi núp bóng các vấn đề liên quan đến COVID-19 để làm mồi nhử thì chúng lại dễ dàng đạt được mục tiêu.

Trojan TrickBot được phát tán dưới dạng bản cập nhật trình duyệt

14:00 | 15/08/2019

Nhóm Malware Hunter thông báo đã phát hiện một trang web Office 365 giả mạo phát tán Trojan đánh cắp mật khẩu. Trang web này đã phát tán Trojan Trickbot dưới dạng ngụy trang các bản cập nhật trình duyệt cho Chrome và Firefox.

Hiểm họa từ Trojan GPlayed

07:00 | 01/04/2019

Ngày 11/10/2018, nhóm nghiên cứu của Cisco (Cisco Talos) đã công bố thông tin về một loại mã độc mới trên hệ điều hành Android có tên gọi GPlayed. Đây là một loại trojan mới được tích hợp nhiều tính năng độc hại. Bài báo này thực hiện phân tích chi tiết của Trojan GPlayed.

Cảnh báo lỗ hổng bảo mật trong sản phẩm vCenter Server

15:00 | 03/06/2021

Qua công tác theo dõi, giám sát, cùng hoạt động hợp tác, chia sẻ thông tin với các tổ chức uy tín về an toàn thông tin trong và ngoài nước, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ) đã ghi nhận một lỗ hổng nghiêm trọng có định danh CVE-2021-21985.

Phát hiện Trojan sử dụng chữ ký số hợp pháp

16:00 | 24/09/2018

Ngày 11/9/2018, đại diện hãng bảo mật Kaspersky tại Việt Nam cho biết đã phát hiện một biến thể Trojan mới tinh vi sử dụng chữ ký số hợp pháp.

Tin cùng chuyên mục

Vụ Công ty chứng khoán VNDIRECT bị tấn công, có thể là do mã độc tống tiền

16:00 | 26/03/2024

Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.

Khám phá chiến dịch phát tán RAT độc hại thông qua các nền tảng họp trực tuyến

10:00 | 13/03/2024

Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.

Giải mã chiến dịch tấn công mạng gần đây của nhóm tin tặc Triều Tiên Lazarus

17:00 | 08/11/2023

Đầu năm nay, một nhà cung cấp phần mềm đã bị xâm nhập bởi phần mềm độc hại Lazarus được phát tán thông qua phần mềm hợp pháp chưa được vá. Điều đáng chú ý là những lỗ hổng phần mềm này không mới và bất chấp cảnh báo cũng như bản vá từ nhà cung cấp, nhiều hệ thống của nhà cung cấp vẫn tiếp tục sử dụng phần mềm có lỗi, cho phép kẻ đe dọa khai thác chúng. Trong bài viết này sẽ phân tích chiến dịch mới của Lazarus dựa trên báo cáo mới đây của hãng bảo mật Kaspersky.