Hình 1. Các mô-đun của mã độc trojan Octo trên Android
Mã độc Trojan mới có tên là Octo trên Android nhắm tới các mục tiêu là ngân hàng, được cho là một trong những biến thể của một phần mềm độc hại trên Android khác có tên là Exobot Compact – được phát hiện vào năm 2019 khi tấn công các ngân hàng ở Mỹ La-tinh. Một biến thể khác của Exobot Compact là Coper được phát hiện vào khoảng tháng 7/2021 ở Colombia, sau đó lan rộng ra các quốc gia ở Châu Âu. Loại phần mềm độc hại này thường được biết đến với việc mạo danh các ứng dụng tổ chức tài chính có tên Bancolombia Personas. Các phiên bản mới hơn của phần mềm độc hại Coper cũng bắt đầu sử dụng các ứng dụng tiện ích mạo danh.
Hình 2. Mã chương trình thực thi Coper
Giống như các mã độc trojan trên Android nhắm mục tiêu vào các ngân hàng, trojan Octo hay Coper thực thi dựa trên trình thả Dropper – một chương trình hoặc một tập tin được sử dụng để cài đặt các rootkit trên thiết bị mục tiêu. Dưới đây là danh sách các trình thả Droppers của Octo và Coper được sử dụng bởi các tác nhân đe dọa:
Các ứng dụng này, đóng vai trò là trình cài đặt ứng dụng trên cửa hàng Google Play, có khả năng ghi lại màn hình và thu thập thông tin từ các ứng dụng giao dịch tài chính, được phân phối thông qua cửa hàng Google Play hoặc qua các trang web lừa đảo nhằm yêu cầu người dùng tải xuống bản cập nhật trình duyệt.
Hình 3. Một số hình thức gian lận trên thiết bị di động
Các trình thả Droppers, sau khi được cài đặt hoạt động như một đường dẫn để khởi chạy trojan. Khi Dropper được thực thi, nó sẽ giải nén các đoạn mã độc lên thiết bị. Thông thường, một dropper nhúng các đoạn mã nhị phân vào trong phần Resource của tập tin thực thi. Để trích xuất, các tập tin thực thi trong phần Resource của Dropper được giải nén bằng cách sử dụng các thủ tục gọi hàm API như là FindResource(), LoadResource(), LockResource() và SizeOfResource().
Hình 4. Tập tin thực thi được nhúng vào trong phần Resource của Dropper
Octo - phiên bản nâng cấp của ExobotCompact, được cài đặt để thực hiện gian lận trên thiết bị bằng cách giành quyền điều khiển từ xa đối với các thiết bị di động thông qua tận dụng quyền trợ năng cũng như API MediaProjection của Android để ghi lại nội dung màn hình cũng như có khả năng chia sẻ màn hình ứng dụng trong thời gian thực.
Theo công ty bảo mật ThreatFnai của Hà Lan cho biết, mục tiêu cuối cùng của mã độc trojan Octo là kích hoạt tự động thực hiện các giao dịch gian lận và cung cấp khả năng ủy quyền thực thi mà không cần thông qua tổ chức, do đó cho phép gian lận trên quy mô lớn. Các tính năng đáng chú ý khác của Octo bao gồm: khả năng lưu lại các lần gõ phím, khả năng thực hiện các cuộc tấn công lớp phủ (overlay attack) vào các ứng dụng ngân hàng để đánh cắp thông tin xác thực, thông tin giao dịch, cũng như cung cấp các biện pháp thích ứng nhằm ngăn chặn việc gỡ cài đặt ứng dụng và lẩn tránh trước các công cụ diệt virus.
Trương Đình Dũng
(tổng hợp)
15:00 | 17/02/2022
09:00 | 29/04/2022
16:00 | 23/11/2022
14:00 | 09/12/2022
09:00 | 25/11/2022
09:00 | 19/05/2022
10:00 | 08/04/2022
09:00 | 09/01/2023
15:00 | 19/03/2022
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024