Trojan này được các nhà nghiên cứu của ThreatFnai đặt tên là Xenomorph. Theo phân tích của công ty bảo mật có trụ sở tại Hà Lan cho biết, mã độc đang trong quá trình phát triển, đồng thời một số đoạn mã được tìm thấy có nhiều điểm tương đồng với một trojan ngân hàng khác có tên gọi là Alien, điều này cho thấy một sự liên hệ nào đó giữa 2 trojan độc hại này.
Đoạn mã code của Xenomorph và Alien
Alien là một trojan truy cập từ xa (RAT) với những tính năng để vượt qua các biện pháp bảo mật xác thực 2 yếu tố (2FA), nhằm đánh cắp thông tin đăng nhập của nạn nhân, xuất hiện ngay sau khi mã độc khét tiếng Cerberus bị ngăn chặn vào tháng 8/2020. Kể từ đó, các biến thể khác của Cerberus đã được phát hiện trên thực tế, bao gồm cả ERMAC vào tháng 9/2021.
Theo Han Sahin, Giám đốc điều hành của ThreatFnai chia sẻ: “Mặc dù đang trong quá trình phát triển ban đầu, nhưng Xenomorph đã sử dụng các cuộc tấn công lớp phủ một cách hiệu quả và được phân phối trên các cửa hàng ứng dụng chính thức. Bên cạnh đó, Xenomorph được thiết kế với các tính năng và mô-đun rất chi tiết để lợi dụng các dịch vụ trợ năng (Accessibility Service) trên Android, với mục đích mở rộng khả năng xâm nhập trên thiết bị nạn nhân”.
Tương tự như Alien và ERMAC, Xenomorph là một ví dụ khác về trojan ngân hàng Android tập trung vào việc phá vỡ các biện pháp bảo mật của Google Play, bằng cách giả mạo các ứng dụng được nhiều người dùng sử dụng như Fast Cleaner, qua đó đánh lừa các nạn nhân cài đặt mã độc, từ đó có thể truy cập vào tài khoản ngân hàng nạn nhân và thực hiện đánh cắp những thông tin có giá trị.
Ứng dụng chứa mã độc Fast Cleaner
Theo số liệu nghiên cứu từ công ty ứng dụng di động Sensor Tower tiết lộ, Fast Cleaner lần đầu xuất hiện trên Google Play từ cuối tháng 1/2022, ứng dụng giả mạo này có tên gói package là vizeeva.fast.cleaner và đang có sẵn trên cửa hàng ứng dụng Google Play. Hiện ứng dụng này khá phổ biến tại Bồ Đào Nha và Tây Ban Nha.
Trước đó vào tháng 11/2021, một ứng dụng Dropper với tên gọi GymDrop và ngụy trang dưới vỏ bọc ứng dụng chuyên về luyện tập thể dục thể thao, cũng đã được các nhà nghiên cứu phát hiện khi phát tán trojan Alien với hơn 10.000 lượt người dùng cài đặt.
Chức năng của Xenomorph vẫn chưa hoàn thiện vào thời điểm này. Tuy nhiên, trojan này vẫn thể hiện là một mối đe dọa đáng kể vì có thể thực hiện mục đích đánh cắp thông tin của mình từ 56 ngân hàng khác nhau tại Châu Âu. Ví dụ, Xenomorph có thể chặn thông báo, thu thập tin nhắn SMS và thực hiện các cuộc tấn công lớp phủ, vì vậy nó đã có thể lấy thông tin xác thực và mật khẩu dùng một lần của nạn nhân. Sau khi cài đặt ứng dụng trên thiết bị, hành động đầu tiên mà Xenomorph thực hiện là gửi lại danh sách các gói package đã có trên thiết bị nạn nhân để tải các lớp phủ phù hợp.
Để đạt được những điều trên, ứng dụng sẽ yêu cầu nạn nhân cấp quyền của dịch vụ trợ năng khi cài đặt, sau đó lợi dụng những quyền này để tự cấp thêm quyền khi cần thiết và thực hiện các cuộc tấn công lớp phủ, lúc này mã độc sẽ tạo ra các màn hình đăng nhập giả mạo lên trên các ứng dụng được nhắm mục tiêu (từ các quốc gia Châu Âu như Tây Ban Nha, Bồ Đào Nha, Ý và Bỉ) để trích xuất thông tin xác thực và một số thông tin cá nhân quan trọng khác.
Ứng dụng yêu cầu cấp quyền của dịch vụ trợ năng
Bên cạnh đó, Xenomorph được trang bị tính năng chặn thông báo để trích xuất mã thông báo xác thực hai yếu tố được gửi qua tin nhắn SMS và nhận danh sách các ứng dụng đã cài đặt. Kết quả sẽ được chuyển sang máy chủ C&C kiểm soát từ xa.
Hiện tại, các bài đánh giá về Fast Cleaner từ người dùng đã cảnh báo rằng “ứng dụng có mã độc” và nó “yêu cầu xác nhận cập nhật liên tục”. Một người dùng khác cho biết: “Fast Cleaner tải mã độc vào thiết bị và điều đặc biệt ứng dụng này còn có tính năng tự bảo vệ để người dùng không thể gỡ cài đặt”.
Theo các nhà nghiên cứu nhận xét: “Sự xuất hiện của Xenomorph một lần nữa cho thấy rằng, tin tặc đang tập trung sự chú ý của họ vào các ứng dụng phổ biến mà người dùng thường hướng tới trên các các cửa hàng ứng dụng chính thống. Các hình thức và biến thể mã độc ngân hàng đang ngày càng phát triển với tốc độ rất nhanh.Song song, các tin tặc cũng đang bắt đầu nghiên cứu, áp dụng các phương pháp tinh vi để thực hiện nhiều cuộc tấn công hơn nữa trong tương lai”.
Lê Thị Bích Hằng
- Đinh Hồng Đạt
15:00 | 17/02/2022
16:00 | 17/03/2023
15:00 | 15/03/2022
09:00 | 25/11/2022
15:00 | 26/10/2023
15:00 | 10/06/2021
15:00 | 15/04/2022
13:00 | 22/02/2022
14:00 | 09/12/2022
11:00 | 29/02/2024
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
10:00 | 19/11/2024
Các cuộc tấn công vào chuỗi cung ứng phần mềm trong vài năm gần đây đã để lại nhiều bài học đắt giá. Những sự cố này không chỉ gây thiệt hại tài chính mà còn ảnh hưởng đến niềm tin vào độ bảo mật của các dịch vụ công nghệ. Bài báo này điểm qua 10 cuộc tấn công chuỗi cung ứng phần mềm nổi bật và những bài học kinh nghiệm.
08:00 | 01/11/2024
Báo cáo mới đây của hãng bảo mật Trend Micro (Mỹ) cho biết, nhóm gián điệp mạng OilRig có liên hệ với Iran đã tăng cường các hoạt động tấn công mạng nhằm vào các thực thể chính phủ của các nước khu vực Vùng Vịnh.
07:00 | 22/10/2024
Một chiến dịch phần mềm độc hại mới nhắm vào lĩnh vực bảo hiểm và tài chính đã được phát hiện bằng cách sử dụng các liên kết GitHub trong các email lừa đảo như một cách để vượt qua các biện pháp bảo mật và phát tán Remcos RAT. Chiến dịch cho thấy phương pháp này đang được các tác nhân đe dọa ưa chuộng.
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
14:00 | 04/02/2025