SharkBot núp bóng ứng dụng diệt virus trên Google play
SharkBot cũng như các thành phần mã độc hại khác như TeaBot, FluBot và Oscorp (UBEL), nằm trong danh mục các trojan tài chính có khả năng đánh cắp thông tin đăng nhập để chuyển tiền từ các thiết bị bị lây nhiễm qua việc phá vỡ các cơ chế xác thực đa yếu tố. Hình thức này xuất hiện lần đầu tiên vào tháng 11/2021.
Theo các nhà phân tích phần mềm độc hại tại công ty an ninh mạng NCC Group (Vương Quốc Anh), SharkBot hoạt động với bốn chức năng chính:
Thứ nhất: Injections (overley attack). SharkBot có thể lấy cắp thông tin đăng nhập bằng cách hiển thị nội dung web (WebView) với trang đăng nhập giả mạo (phishing) ngay khi phát hiện ứng dụng ngân hàng chính thức được mở.
Thứ hai: Keylogging. SharkBot có thể lấy cắp thông tin đăng nhập bằng cách ghi nhật ký các sự kiện trợ năng (liên quan tới các thay đổi trường văn bản và các nút được nhấp vào) và gửi các nhật ký này đến máy chủ command and control (C2).
Thứ ba: Chặn SMS. SharkBot có thể chặn/ẩn tin nhắn SMS (đánh cắp mã OTP mà người dùng không hề hay biết).
Thứ tư: Điều khiển từ xa/ATS. SharkBot có thể chiếm toàn quyền kiểm soát thiết bị Android và điều khiển nó từ xa (thông qua Accessibility Services).
Điểm nổi bật của SharkBot là ở khả năng thực hiện các giao dịch trái phép thông qua Hệ thống chuyển giao tự động (ATS), trái ngược với TeaBot, yêu cầu người dùng trực tiếp tương tác với các thiết bị bị nhiễm để tiến hành các hoạt động độc hại.
SharkBot lạm dụng đặc quyền Accessibility trên Android và sau đó tự cấp thêm quyền cho nó nếu cần. Bằng cách này, SharkBot có thể phát hiện khi nào người dùng mở ứng dụng ngân hàng sau đó thực hiện việc injection trang web phù hợp và đánh cắp thông tin của người dùng.
Ngoài ra, SharkBot còn có thể nhận lệnh từ máy chủ C2 để thực hiện các hành động khác như sau:
Một trong những điểm khác biệt đáng chú ý giữa SharkBot và các trojan ngân hàng Android khác là việc sử dụng các thành phần tương đối mới để tận dụng tính năng "Direct reply" cho các thông báo. SharkBot có thể chặn các thông báo mới và trả lời chúng bằng các thông điệp tới trực tiếp từ máy chủ C2.
Mã nguồn của tính năng tự động trả lời thông báo
NCC lưu ý rằng SharkBot sử dụng tính năng này để cài đặt các payload nhiều tính năng lên thiết bị bị xâm nhập thông qua một URL Bit.ly rút rọn.
Ban đầu, ứng dụng diệt virus giả mạo sẽ chỉ chứa một phiên bản SharkBot thu gọn để giảm nguy cơ bị phát hiện và vượt qua lớp phòng thủ tự động của Google Play. Sau đó, thông qua tính năng "Direct reply", phiên bản chính thức của SharkBot với đầy đủ tính năng bao gồm cả ATS sẽ được tải xuống và cài đặt.
Giải mã lệnh tải mã độc bổ sung được gửi từ máy chủ C2
Máy chủ C2 của SharkBot dựa trên một thuật toán tạo tên miền (DGA) nên việc phát hiện và ngăn chặn các tên miền cấp lệnh cho SharkBot trở nên khó khăn hơn nhiều.
Danh sách các ứng dụng độc hại khác với lượt cài đặt khoảng 57.000 lần gồm có:
Để bảo vệ bản thân trước những trojan nguy hiểm như SharkBot người dùng không nên tin tưởng vào các ứng dụng trên Google Play Store. Hãy cài ít ứng dụng nhất có thể trên thiết bị của mình. Nói cách khác, người dùng chỉ nên cài các ứng dụng thật sự cần thiết cho cuộc sống và công việc.
Trí Công
14:00 | 07/03/2022
15:00 | 15/04/2022
15:00 | 17/02/2022
17:00 | 01/04/2022
08:00 | 04/04/2022
15:00 | 28/11/2022
09:00 | 18/11/2024
Tin tặc đang lợi dụng cụm từ tìm kiếm "Mèo Bengal có hợp pháp ở Úc không" trên Google để phát tán phần mềm độc hại, gây nguy hiểm cho thiết bị của người dùng.
07:00 | 21/10/2024
Một nghiên cứu mới đây cho thấy 7 nhãn hiệu ô tô hàng đầu tại Úc đang thu thập và bán dữ liệu về người lái, gây lo ngại về quyền riêng tư. Đặc biệt, Hyundai và Kia bị cáo buộc bán dữ liệu nhận dạng giọng nói cho bên thứ ba để huấn luyện AI.
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
21:00 | 29/08/2024
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024