Phiên bản mới của Trojan Android Xenomorph đánh cắp dữ liệu từ 400 ứng dụng ngân hàng

16:00 | 17/03/2023 | HACKER / MALWARE

Trojan Android Xenomorph đã quay trở lại với phiên bản mới cùng các tính năng bổ sung và cải tiến để thực hiện các cuộc tấn công độc hại, bao gồm khung hệ thống chuyển tiền tự động (Automated Transfer System - ATS) và khả năng đánh cắp thông tin đăng nhập từ 400 ứng dụng ngân hàng khác nhau.

Phiên bản mới của Trojan Android Xenomorph đánh cắp dữ liệu từ 400 ứng dụng ngân hàng

Xenomorph lần đầu tiên được phát hiện bởi công ty an ninh mạng ThreatFabric (Hà Lan) vào tháng 02/2022, mã độc này là một trojan ngân hàng được phân phối thông qua các ứng dụng độc hại trên cửa hàng Google Play, đã có hơn 50 nghìn lượt người dùng tải xuống trong phiên bản này (Xenomorph v1). Điều khiến Xenomorph trở nên đặc biệt nguy hiểm đó là cách nó thực hiện các cuộc tấn công lớp phủ (overlay) và lạm dụng quyền của dịch vụ trợ năng trên 56 ứng dụng ngân hàng tại châu Âu, để thực hiện chặn thông báo nhằm đánh cắp mã một lần (OTP), từ đó thu thập thông tin đăng nhập của người dùng và rút cạn tài khoản của họ.

Tác giả của Xenomorph, “Hadoken Security” tiếp tục phát triển trojan độc hại này trong suốt năm 2022, nhưng các bản phát hành mới hơn của nó không bao giờ được phân phối với số lượng lớn. Thay vào đó, Xenomorph v2, được phát hành vào tháng 6/2022, chỉ có một khoảng thời gian hoạt động thử nghiệm ngắn trên thực tế. Tuy nhiên, phiên bản thứ hai đáng chú ý vì đã được chỉnh sửa và tối ưu mã lệnh, khiến nó trở nên linh hoạt hơn.

Phiên bản mới Xenomorph v3

Xenomorph v3 có khả năng và hoàn thiện hơn nhiều so với các phiên bản trước, có thể tự động đánh cắp dữ liệu, bao gồm thông tin đăng nhập, số dư tài khoản, thực hiện các giao dịch ngân hàng và hoàn tất chuyển tiền. Trong báo cáo mới nhất về tính năng này, ThreatFabric đưa ra cảnh báo: “Với những tính năng mới, Xenomorph hiện có thể hoàn thành tự động hóa toàn bộ chuỗi đánh cắp, từ lây nhiễm đến rút tiền, khiến nó trở thành một trong những trojan độc hại nguy hiểm nhất trên hệ điều hành Android”.

Sau khi xem xét các mẫu của Xenomorph v3, ThreatFabric đã phát hiện ra một trang web chuyên quảng cáo phiên bản mới nhất của Trojan này. Các nhà nghiên cứu cho rằng có khả năng Hadoken đang có kế hoạch rao bán Xenomorph cho các nhà khai thác thông qua nền tảng MaaS (phần mềm độc hại dưới dạng dịch vụ) và việc ra mắt trang web quảng cáo phiên bản mới của Xenomorph càng củng cố thêm nhận định này.

Trang web quảng cáo của Xenomorph v3

Hiện tại, Xenomorph v3 đang được phân phối thông qua nền tảng “Zombinder” trên cửa hàng Google Play (nền tảng này do tin tặc tạo ra để thêm mã độc vào các ứng dụng Android hợp pháp, đây là những ứng dụng Android thông thường có chứa payload độc hại), đóng vai trò là công cụ chuyển đổi tiền tệ và chuyển sang sử dụng biểu tượng Play Protect sau khi cài đặt các payload độc hại.

Mục tiêu của Xenomorph v3

Phiên bản mới nhất của Xenomorph hướng tới 400 ngân hàng và tổ chức tài chính, chủ yếu từ Mỹ, Tây Ban Nha, Thổ Nhĩ Kỳ, Ba Lan, Úc, Canada, Ý, Bồ Đào Nha, Pháp, Đức, UAE và Ấn Độ.

Mục tiêu của Xenomorph v3 tại các quốc gia

Một số ví dụ về các tổ chức được nhắm mục tiêu, bao gồm: Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, Ngân hàng Quốc gia Canada, BBVA, Santander và Caixa. Bên cạnh 400 ứng dụng ngân hàng và tổ chức tài chính, giờ đây trojan này còn nhắm mục tiêu đến một số ví tiền điện tử, bao gồm Binance, BitPay, KuCoin, Gemini và Coinbase.

Vượt qua xác thực MFA

Tính năng đáng chú ý nhất được giới thiệu trong phiên bản Xenomorph v3 là khung ATS, cho phép tin tặc có thể tự động trích xuất thông tin xác thực, kiểm tra số dư tài khoản, thực hiện giao dịch và đánh cắp tài chính từ các ứng dụng mục tiêu mà không cần thực hiện các hành động từ xa trên thiết bị Android bị nhiễm. Thay vào đó, người điều khiển chỉ cần gửi các tập lệnh JSON mà Xenomorph chuyển đổi thành một danh sách các hoạt động và thực thi chúng một cách tự động trên thiết bị bị nhiễm.

Các nhà nghiên cứu của ThreatFabrics cho biết: “Khung ATS được Xenomorph v3 sử dụng nổi bật so với các phần mềm độc hại khác nhờ có nhiều lựa chọn hành động có thể lập trình được và có thể được đưa vào tập lệnh ATS, bên cạnh hệ thống cho phép thực thi có điều kiện và ưu tiên hành động”. Ngoài ra, khung ATS còn có khả năng ghi nhật ký nội dung của các ứng dụng xác thực của bên thứ ba, do đó vượt qua các biện pháp bảo vệ xác thực đa yếu tố - MFA và có thể chặn các giao dịch tự động.

Các ngân hàng đang dần từ bỏ tin nhắn SMS MFA và thay vào đó đề nghị khách hàng sử dụng các ứng dụng xác thực như Google Authenticator hoặc Microsoft Authenticator (tuy nhiên không phải tất cả các ngân hàng đều cung cấp tùy chọn này), vì vậy khả năng Xenomorph truy cập các ứng dụng này trên cùng một thiết bị là điều đáng lo ngại.

Trích xuất mã OTP từ ứng dụng Google Authenticator

Đánh cắp cookie

Bên cạnh những tính năng trên, Xenomorph v3 thậm chí còn có thể đánh cắp cookie và có thể lấy cookie trên điện thoại của nạn nhân từ Android CookieManager, nơi lưu trữ cookie phiên của người dùng. Xenomorph v3 thực hiện điều này bằng cách khởi chạy một cửa sổ trình duyệt có URL của một dịch vụ hợp pháp với giao diện JavaScript được mở ra, sau đó đánh lừa nạn nhân nhập thông tin đăng nhập của họ. Với các phiên cookie này, cho phép tin tặc có thể chiếm quyền điều khiển các phiên truy cập web của nạn nhân và chiếm đoạt tài khoản của họ.

Quy trình đánh cắp cookie của Xenomorph v3

Bảo vệ và ngăn chặn lây nhiễm trên thiết bị

Xenomorph là một trojan mới đáng chú ý vào một năm trước. Giờ đây, với việc phát hành phiên bản chính thứ 3, nó là mối đe dọa lớn hơn nhiều đối với người dùng Android trên toàn thế giới, khi có thể rút tài khoản ngân hàng và chiếm đoạt các tài khoản trực tuyến khác của nạn nhân, vì nó có thể tự động đánh cắp thông tin mật khẩu lưu trữ.

Hiện tại, Xenomorph v3 đang được phân phối bằng Zombinder trên cửa hàng Google Play, vì thế để bảo vệ và phòng chống trước mối đe dọa lây nhiễm độc hại của trojan này cũng như các loại phần mềm độc hại khác, người dùng chú ý như sau:

Nên thận trọng và chỉ tải xuống ứng dụng từ các cửa hàng ứng dụng chính thức (ví dụ như Google Play), các thư viện của bên thứ 3 không có các bước bảo mật mạnh mẽ và không đảm bảo được an toàn.
Trước khi tải xuống, cần đọc kỹ các bài đánh giá và xếp hạng của các ứng dụng đó. Đồng thời, nên hạn chế sử dụng các ứng dụng trên điện thoại ở mức tối thiểu có thể.
Không nhấp vào liên kết hoặc tệp đính kèm mà người dùng nhận được trong các email hoặc tin nhắn lạ, không mong muốn. Chúng có thể chứa phần mềm độc hại và lây nhiễm vào thiết bị của người dùng hoặc đánh cắp thông tin nhạy cảm.
Không sử dụng mật khẩu mặc định, sử dụng mật khẩu mạnh và duy nhất, chủ động định kỳ thay đổi mật khẩu một lần.
Đối với việc bảo vệ điện thoại Android, người dùng cần phải đảm bảo rằng Google Play Protect được bật vì nó quét các ứng dụng hiện có và bất kỳ ứng dụng mới nào được cài đặt để tìm mã độc. Để được bảo vệ thêm, người dùng có thể cài đặt một trong những ứng dụng chống virus Android tốt nhất cùng với ứng dụng đó.

Hồng Đạt

‹ › ×

Tin liên quan

Phát hiện Trojan Android mới đánh cắp tài khoản ngân hàng tại Việt Nam

15:00 | 26/10/2023

Công ty an ninh mạng Group-IB vừa qua đã đưa ra cảnh báo về loại Trojan Android mới, được thiết kế để bí mật thu thập thông tin người dùng, bao gồm xác thực ứng dụng ngân hàng nhằm chiếm đoạt tài khoản.

Xenomorph - Trojan ngân hàng mới trên Android

14:00 | 07/03/2022

Mới đây, các nhà nghiên cứu tới từ công ty bảo mật ThreatFnai (Hà Lan) đã đưa ra cảnh báo về một trojan ngân hàng mới trên nền tảng Android, ghi nhận với hơn 50.000 lượt cài đặt và phát tán thông qua cửa hàng ứng dụng Google Play. Mã độc này nhắm mục tiêu thu thập các thông tin nhạy cảm của người dùng đến từ 56 ngân hàng khác nhau tại Châu Âu.

Gần 8 triệu số giấy phép lái xe, số hộ chiếu và hồ sơ khách hàng bị đánh cắp ở Australia và New Zealand

11:00 | 31/03/2023

Ngày 27/3, công ty tài chính tiêu dùng Úc Latitude Holdings cho biết, tin tặc đã đánh cắp gần 8 triệu số giấy phép lái xe của Australia và New Zealand trong một vụ vi phạm dữ liệu quy mô lớn.

Cơ quan quản lý viễn thông Anh bị đánh cắp dữ liệu

17:00 | 22/06/2023

Theo thông tin từ Cơ quan quản lý viễn thông của Vương quốc Anh Ofcom cho biết tin tặc đã xâm nhập đánh cắp nhiều dữ liệu của cơ quan này.

Phân tích QwixxRAT: Trojan truy cập từ xa mới xuất hiện trên Telegram và Discord

10:00 | 28/08/2023

Một trojan truy cập từ xa (RAT) mới có tên là “QwixxRAT” đang được các tin tặc rao bán thông qua các nền tảng Telegram và Discord. Các doanh nghiệp và người dùng cá nhân đều có thể gặp rủi ro bởi vì trojan này âm thầm xâm nhập vào các thiết bị mục tiêu, tạo ra một mạng lưới khai thác dữ liệu rộng lớn.

60 ứng dụng Android với hơn 100 triệu lượt tải bị nhiễm mã độc

09:00 | 25/04/2023

60 ứng dụng phổ biến như Lotte Cinema, Live Score, với hơn 100 triệu lượt tải trên Android, vô tình dính mã độc Goldoson đánh cắp dữ liệu.

Phát hiện Trojan Android đánh cắp hơn 300.000 tài khoản Facebook

14:00 | 09/12/2022

Một chiến dịch đánh cắp tài khoản Facebook vừa được phát hiện với hơn 300.000 tài khoản bị tấn công, chủ yếu tại Việt Nam, Trojan Android này đã giả dạng các ứng dụng giáo dục để thực hiện hành vi đánh cắp thông tin đăng nhập tài khoản Facebook từ các thiết bị bị nhiễm.

Phân tích chiến dịch tấn công lạm dụng tính năng tìm kiếm của Windows để cài đặt Trojan truy cập từ xa

12:00 | 14/08/2023

Một tính năng tìm kiếm hợp pháp của Windows đang bị khai thác bởi các tác nhân độc hại không xác định để tải xuống các payload tùy ý từ các máy chủ từ xa và xâm phạm các hệ thống được nhắm mục tiêu bằng các trojan truy cập từ xa (RAT) như AsyncRAT và Remcos RAT.

Cách loại bỏ trojan, virus, worm và các phần mềm độc hại

14:00 | 09/12/2022

Phần mềm độc hại đã trở thành khái niệm không còn xa lạ đối với người dùng hiện nay. Tuy nhiên, chúng được phân loại và có cách thức hoạt động khác nhau. Bài viết này hướng dẫn người dùng cách loại bỏ những phần mềm độc hại thuộc dạng virus, trojan, worm.

Tin cùng chuyên mục

Tội phạm mạng sử dụng AI để phát tán phần mềm độc hại trong các chiến dịch lừa đảo trên mạng xã hội

10:00 | 22/04/2024

Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Lỗ hổng trong thư viện Aiohttp bị tin tặc khai thác để tấn công mạng

10:00 | 28/03/2024

Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.