Cụ thể, những kẻ tấn công nhắm mục tiêu vào các tổ chức tài chính, ví tiền điện tử và nền tảng thanh toán ảo bằng cách mạo danh một ứng dụng Orange SA Android và cố gắng lấy cắp thông tin đăng nhập của người dùng.
Anubis lần đầu tiên xuất hiện trên các diễn đàn hack của Nga vào năm 2016, được biết như một trojan ngân hàng mã nguồn mở với các hướng dẫn về cách triển khai ứng dụng khách và các thành phần của nó.
Trong những năm sau đó, Anubis đã phát triển hơn và mã nguồn mới của nó tiếp tục được chia sẻ cởi mở trên các diễn đàn.
Vào năm 2019, phần mềm độc hại này đã thêm một mô-đun ransomware gần như đầy đủ chức năng và xâm nhập vào Cửa hàng Play của Google thông qua các ứng dụng giả mạo.
Năm 2020, Anubis trở lại thông qua các chiến dịch lừa đảo quy mô lớn, nhằm vào 250 ứng dụng ngân hàng và mua sắm.
Anubis sẽ hiển thị các biểu mẫu đăng nhập lừa đảo giả mạo, khi người dùng mở ứng dụng của các nền tảng bị xâm nhập để lấy cắp thông tin đăng nhập. Màn hình lớp phủ này sẽ được hiển thị trên màn hình đăng nhập của ứng dụng thực để khiến nạn nhân nghĩ rằng đó là một hình thức đăng nhập hợp pháp và sau đó thông tin đã nhập sẽ được gửi đến những kẻ tấn công.
Lớp phủ biểu mẫu đăng nhập lừa đảo của Anubis
Trong phiên bản mới được phát hiện, Anubis hiện nhắm mục tiêu vào 394 ứng dụng và có các khả năng:
Các lớp Anubis ẩn bên trong ứng dụng giả mạo
Anubis phát hiện xem thiết bị đang bị xâm nhập có bật Google Play Protected hay không và đưa ra cảnh báo hệ thống giả để lừa người dùng vô hiệu hóa tính năng đó.
Việc hủy kích hoạt này cung cấp cho phần mềm độc hại toàn quyền truy cập vào thiết bị và tự do gửi và nhận dữ liệu từ Máy chủ ra lệnh và kiểm soát (Command and Control – C2) mà không có bất kỳ sự can thiệp nào.
Lừa người dùng tắt Google Play Protect
Vào tháng 7/2021, những kẻ tấn công gửi gói "fr.orange.serviceapp" tới cửa hàng Google Play nhưng đã bị từ chối. Lookout (nhà cung cấp bảo mật mạng hàng đầu tại Mỹ) cho rằng những kẻ tấn công chỉ đang kiểm tra trình phát hiện chống phần mềm độc hại của Google.
Ứng dụng Orange giả mạo được phát tán thông qua các trang web độc hại, tin nhắn trực tiếp trên phương tiện truyền thông xã hội, các bài đăng trên diễn đàn.
Nhà nghiên cứu về mối đe dọa của Lookout, Kristina Balaam cho biết, chiến dịch này không chỉ nhắm mục tiêu đến khách hàng Pháp của Orange SA mà còn cả người dùng Mỹ trong đó có các ngân hàng Bank of America, US Bank, Capital One, Chase, SunTrust và Wells Fargo.
Không có thông tin cụ thể về những kẻ đứng sau Anubis, chúng khá cẩn trọng trong việc ẩn dấu vết đăng ký cơ sở hạ tầng C2 của mình.
Đồng thời, những kẻ tấn công sử dụng Cloudflare để chuyển hướng tất cả lưu lượng truy cập mạng thông qua SSL, trong khi C2 giả dạng trang web giao dịch tiền điện tử bằng tên miền "https://quickbitrade[.]com".
Các trang web giao dịch tiền điện tử giả được Anubis sử dụng gần đây
Khách hàng của Orange SA được khuyên chỉ tìm nguồn ứng dụng từ trang web chính thức của các công ty viễn thông hoặc cửa hàng Google Play. Ngoài ra, hãy chú ý đến các quyền được yêu cầu trước khi cấp phép tải xuống và cài đặt một ứng dụng.
Thanh Phương (Theo Bleepingcomputer)
10:00 | 10/11/2021
08:00 | 12/01/2022
20:00 | 30/06/2021
07:00 | 07/06/2021
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024