Cụ thể, những kẻ tấn công nhắm mục tiêu vào các tổ chức tài chính, ví tiền điện tử và nền tảng thanh toán ảo bằng cách mạo danh một ứng dụng Orange SA Android và cố gắng lấy cắp thông tin đăng nhập của người dùng.
Anubis lần đầu tiên xuất hiện trên các diễn đàn hack của Nga vào năm 2016, được biết như một trojan ngân hàng mã nguồn mở với các hướng dẫn về cách triển khai ứng dụng khách và các thành phần của nó.
Trong những năm sau đó, Anubis đã phát triển hơn và mã nguồn mới của nó tiếp tục được chia sẻ cởi mở trên các diễn đàn.
Vào năm 2019, phần mềm độc hại này đã thêm một mô-đun ransomware gần như đầy đủ chức năng và xâm nhập vào Cửa hàng Play của Google thông qua các ứng dụng giả mạo.
Năm 2020, Anubis trở lại thông qua các chiến dịch lừa đảo quy mô lớn, nhằm vào 250 ứng dụng ngân hàng và mua sắm.
Anubis sẽ hiển thị các biểu mẫu đăng nhập lừa đảo giả mạo, khi người dùng mở ứng dụng của các nền tảng bị xâm nhập để lấy cắp thông tin đăng nhập. Màn hình lớp phủ này sẽ được hiển thị trên màn hình đăng nhập của ứng dụng thực để khiến nạn nhân nghĩ rằng đó là một hình thức đăng nhập hợp pháp và sau đó thông tin đã nhập sẽ được gửi đến những kẻ tấn công.
Lớp phủ biểu mẫu đăng nhập lừa đảo của Anubis
Trong phiên bản mới được phát hiện, Anubis hiện nhắm mục tiêu vào 394 ứng dụng và có các khả năng:
Các lớp Anubis ẩn bên trong ứng dụng giả mạo
Anubis phát hiện xem thiết bị đang bị xâm nhập có bật Google Play Protected hay không và đưa ra cảnh báo hệ thống giả để lừa người dùng vô hiệu hóa tính năng đó.
Việc hủy kích hoạt này cung cấp cho phần mềm độc hại toàn quyền truy cập vào thiết bị và tự do gửi và nhận dữ liệu từ Máy chủ ra lệnh và kiểm soát (Command and Control – C2) mà không có bất kỳ sự can thiệp nào.
Lừa người dùng tắt Google Play Protect
Vào tháng 7/2021, những kẻ tấn công gửi gói "fr.orange.serviceapp" tới cửa hàng Google Play nhưng đã bị từ chối. Lookout (nhà cung cấp bảo mật mạng hàng đầu tại Mỹ) cho rằng những kẻ tấn công chỉ đang kiểm tra trình phát hiện chống phần mềm độc hại của Google.
Ứng dụng Orange giả mạo được phát tán thông qua các trang web độc hại, tin nhắn trực tiếp trên phương tiện truyền thông xã hội, các bài đăng trên diễn đàn.
Nhà nghiên cứu về mối đe dọa của Lookout, Kristina Balaam cho biết, chiến dịch này không chỉ nhắm mục tiêu đến khách hàng Pháp của Orange SA mà còn cả người dùng Mỹ trong đó có các ngân hàng Bank of America, US Bank, Capital One, Chase, SunTrust và Wells Fargo.
Không có thông tin cụ thể về những kẻ đứng sau Anubis, chúng khá cẩn trọng trong việc ẩn dấu vết đăng ký cơ sở hạ tầng C2 của mình.
Đồng thời, những kẻ tấn công sử dụng Cloudflare để chuyển hướng tất cả lưu lượng truy cập mạng thông qua SSL, trong khi C2 giả dạng trang web giao dịch tiền điện tử bằng tên miền "https://quickbitrade[.]com".
Các trang web giao dịch tiền điện tử giả được Anubis sử dụng gần đây
Khách hàng của Orange SA được khuyên chỉ tìm nguồn ứng dụng từ trang web chính thức của các công ty viễn thông hoặc cửa hàng Google Play. Ngoài ra, hãy chú ý đến các quyền được yêu cầu trước khi cấp phép tải xuống và cài đặt một ứng dụng.
Thanh Phương (Theo Bleepingcomputer)
10:00 | 10/11/2021
08:00 | 12/01/2022
20:00 | 30/06/2021
07:00 | 07/06/2021
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024