SharkBot núp bóng ứng dụng diệt virus trên Google play
SharkBot cũng như các thành phần mã độc hại khác như TeaBot, FluBot và Oscorp (UBEL), nằm trong danh mục các trojan tài chính có khả năng đánh cắp thông tin đăng nhập để chuyển tiền từ các thiết bị bị lây nhiễm qua việc phá vỡ các cơ chế xác thực đa yếu tố. Hình thức này xuất hiện lần đầu tiên vào tháng 11/2021.
Theo các nhà phân tích phần mềm độc hại tại công ty an ninh mạng NCC Group (Vương Quốc Anh), SharkBot hoạt động với bốn chức năng chính:
Thứ nhất: Injections (overley attack). SharkBot có thể lấy cắp thông tin đăng nhập bằng cách hiển thị nội dung web (WebView) với trang đăng nhập giả mạo (phishing) ngay khi phát hiện ứng dụng ngân hàng chính thức được mở.
Thứ hai: Keylogging. SharkBot có thể lấy cắp thông tin đăng nhập bằng cách ghi nhật ký các sự kiện trợ năng (liên quan tới các thay đổi trường văn bản và các nút được nhấp vào) và gửi các nhật ký này đến máy chủ command and control (C2).
Thứ ba: Chặn SMS. SharkBot có thể chặn/ẩn tin nhắn SMS (đánh cắp mã OTP mà người dùng không hề hay biết).
Thứ tư: Điều khiển từ xa/ATS. SharkBot có thể chiếm toàn quyền kiểm soát thiết bị Android và điều khiển nó từ xa (thông qua Accessibility Services).
Điểm nổi bật của SharkBot là ở khả năng thực hiện các giao dịch trái phép thông qua Hệ thống chuyển giao tự động (ATS), trái ngược với TeaBot, yêu cầu người dùng trực tiếp tương tác với các thiết bị bị nhiễm để tiến hành các hoạt động độc hại.
SharkBot lạm dụng đặc quyền Accessibility trên Android và sau đó tự cấp thêm quyền cho nó nếu cần. Bằng cách này, SharkBot có thể phát hiện khi nào người dùng mở ứng dụng ngân hàng sau đó thực hiện việc injection trang web phù hợp và đánh cắp thông tin của người dùng.
Ngoài ra, SharkBot còn có thể nhận lệnh từ máy chủ C2 để thực hiện các hành động khác như sau:
Một trong những điểm khác biệt đáng chú ý giữa SharkBot và các trojan ngân hàng Android khác là việc sử dụng các thành phần tương đối mới để tận dụng tính năng "Direct reply" cho các thông báo. SharkBot có thể chặn các thông báo mới và trả lời chúng bằng các thông điệp tới trực tiếp từ máy chủ C2.
Mã nguồn của tính năng tự động trả lời thông báo
NCC lưu ý rằng SharkBot sử dụng tính năng này để cài đặt các payload nhiều tính năng lên thiết bị bị xâm nhập thông qua một URL Bit.ly rút rọn.
Ban đầu, ứng dụng diệt virus giả mạo sẽ chỉ chứa một phiên bản SharkBot thu gọn để giảm nguy cơ bị phát hiện và vượt qua lớp phòng thủ tự động của Google Play. Sau đó, thông qua tính năng "Direct reply", phiên bản chính thức của SharkBot với đầy đủ tính năng bao gồm cả ATS sẽ được tải xuống và cài đặt.
Giải mã lệnh tải mã độc bổ sung được gửi từ máy chủ C2
Máy chủ C2 của SharkBot dựa trên một thuật toán tạo tên miền (DGA) nên việc phát hiện và ngăn chặn các tên miền cấp lệnh cho SharkBot trở nên khó khăn hơn nhiều.
Danh sách các ứng dụng độc hại khác với lượt cài đặt khoảng 57.000 lần gồm có:
Để bảo vệ bản thân trước những trojan nguy hiểm như SharkBot người dùng không nên tin tưởng vào các ứng dụng trên Google Play Store. Hãy cài ít ứng dụng nhất có thể trên thiết bị của mình. Nói cách khác, người dùng chỉ nên cài các ứng dụng thật sự cần thiết cho cuộc sống và công việc.
Trí Công
14:00 | 07/03/2022
15:00 | 15/04/2022
15:00 | 17/02/2022
17:00 | 01/04/2022
08:00 | 04/04/2022
15:00 | 28/11/2022
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024