Các nhà nghiên cứu Himanshu Sharma và Viral Gandhi của ThreatLabz cho biết: “Xenomorph là một trojan đánh cắp thông tin đăng nhập từ các ứng dụng ngân hàng trên thiết bị của người dùng. Nó có khả năng chặn các tin nhắn SMS và thông báo của người dùng, cho phép đánh cắp mật khẩu một lần và các yêu cầu xác thực đa yếu tố”.
Hình 1. Ứng dụng độc hại có chứa mã độc Xenomorph
Theo ThreatLabz, Xenomorph bắt đầu bằng việc yêu cầu người dùng kích hoạt quyền truy cập. Sau đó, Xenomorph tự thêm chính nó với tư cách là quản trị viên và ngăn người dùng tắt quyền truy cập quản trị này trên thiết bị.
Được biết, Xenomorph lần đầu tiên được ghi nhận bởi công ty an ninh mạng ThreatFabric vào đầu tháng 2/2022 đã lạm dụng quyền truy cập của hệ điều hành Android để thực hiện các cuộc tấn công lớp phủ, trong đó màn hình đăng nhập giả được hiển thị trên các ứng dụng ngân hàng hợp pháp để đánh cắp thông tin đăng nhập của nạn nhân.
Một chiến dịch lây nhiễm tương tự đã được quan sát trong 3 tháng trước với trojan ngân hàng Coper. Trojan này cũng được phân phối trong các ứng dụng trên cửa hàng Google Play và lấy nguồn payload phần mềm độc hại của nó từ repo Github.
Hình 2. Luồng lây nhiễm của Xenomorph
Khi ứng dụng được kích hoạt lần đầu tiên, nó sẽ liên hệ với máy chủ Firebase để nhận URL payload độc hại và tải xuống các mẫu trojan ngân hàng Xenomorph từ Github. Sau đó, mã độc này sẽ liên hệ với các máy chủ C2 được giải mã thông qua sự mô tả nội dung trên kênh Telegram để thêm các lệnh bổ sung, qua đó mở rộng quá trình lây nhiễm. Trong Hình 3, mã độc sẽ chỉ tải xuống các payload độc hại khác nếu tham số “enabled” được đặt thành “true”.
Hình 3. Mã độc không truy xuất những payload độc hại khác
Payload có liên kết đến kênh Telegram được mã hóa bằng thuật toán RC4. Sau khi thực hiện, payload này sẽ tải xuống nội dung được lưu trữ trên đó. Trong Hình 4, payload giải mã địa chỉ máy chủ C2 từ nội dung được tải xuống.
Hình 4. Giải mã C2 từ Telegram
ThreatLabz cũng quan sát thấy các miền C2 được mã hóa RC4. Hình 5 hiển thị thông tin C2 request, trong đó payload gửi tất cả các ứng dụng đã cài đặt tới C2 để nhận thêm chỉ dẫn. Trong một trường hợp, nó sẽ hiển thị trang đăng nhập giả mạo của ứng dụng ngân hàng được nhắm mục tiêu nếu ứng dụng hợp pháp được cài đặt trong thiết bị bị nhiễm.
Hình 5. Mã độc tải lên tất cả gói thông tin để nhận lệnh
Ngoài ra, ThreatLabz cũng quan sát thấy một ứng dụng khác có tên là “経費キーパー” (Trình quản lý chi phí) và thể hiện những hành vi tương tự. Khi thực thi ứng dụng này, tham số “enable” được đặt thành giá trị “false”, giống như quá trình trước đó được hiển thị trong Hình 3. Do đó, không thể truy xuất URL Dropper cho các payload ngân hàng khác.
Hình 6. Ứng dụng độc hại khác có hành vi tương tự như mã độc Xenomorph
Kết luận
Cả hai ứng dụng đều hoạt động như Dropper app, được thiết kế để cài đặt thêm một số loại mã độc sau khi xâm nhập vào hệ thống. Có nghĩa là bản thân các ứng dụng đều vô hại, tuy nhiên được thiết kế để tải mã độc khác ở 1 địa chỉ cụ thể để cài đặt. Trong trường hợp của Todo, ứng dụng mã độc được lưu trữ trên GitHub.
Mặc dù, Google hiện đã xóa các ứng dụng vi phạm khỏi cửa hàng của mình nhưng chúng vẫn còn tồn tại trên các cửa hàng ứng dụng của bên thứ ba. Do đó, người dùng nên hạn chế cấp các quyền không cần thiết khi cài đặt trên cửa hàng ứng dụng và xác minh tính hợp pháp của chúng bằng cách kiểm tra thông tin nhà phát triển, đọc các bài đánh giá và xem xét kỹ lưỡng chính sách quyền riêng tư của họ.
Trước đó, Google đã xóa tài khoản nhà phát triển sau khi phát hiện ra 4 ứng dụng giả mạo trên Google Play đã được phát hiện chuyển hướng nạn nhân đến các trang web độc hại như một phần của chiến dịch đánh cắp thông tin và phần mềm quảng cáo.
Hồng Đạt
14:00 | 07/03/2022
16:00 | 08/12/2022
20:00 | 13/05/2023
14:00 | 20/03/2023
09:00 | 21/04/2022
15:00 | 17/02/2022
13:00 | 05/09/2022
08:00 | 06/06/2023
Các chuyên gia bảo mật tại ESET vừa phát hiện ra một loại mã độc truy cập từ xa, ẩn giấu bên trong ứng dụng iRecorder - Trình ghi màn hình.
14:00 | 16/05/2023
Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một chủng ransomware mới có tên CACTUS được phát hiện đã tận dụng các lỗ hổng trong các thiết bị VPN để có được quyền truy cập ban đầu vào các mạng được nhắm mục tiêu. Mã độc tống tiền này thường nhắm mục tiêu vào các tổ chức thương mại lớn kể từ tháng 3/2023, với các cuộc tấn công đánh cắp dữ liệu nhạy cảm của nạn nhân trước khi mã hóa.
14:00 | 16/05/2023
Stephanie “Snow” Carruthers, trưởng nhóm “tin tặc nhắm vào con người” tại IBM X-Force Red, cho thấy những bài đăng, chia sẻ tưởng chừng như vô hại của nhân viên có thể giúp tin tặc lấy được dữ liệu của doanh nghiệp. Bà nhắc nhở mọi người rằng hãy suy nghĩ kĩ trước khi chụp và đăng một bức ảnh tại văn phòng, một bức ảnh với thẻ #firstday, hay một bức ảnh nhóm tại nơi làm việc. Bởi vì tin tặc đang truy quét mạng xã hội để lấy ảnh, video và các manh mối khác có thể giúp chúng nhắm vào công ty của người dùng để tấn công.
14:00 | 10/05/2023
Người dùng cần xóa sạch dữ liệu điện thoại thông minh hoặc máy tính xách tay của mình trước khi bán lại hoặc cho người quen vì có rất nhiều dữ liệu cá nhân có giá trị trên đó và chúng cần nằm trong tầm kiểm soát của mình. Các doanh nghiệp và các tổ chức cũng cần thực hiện làm điều đó, nghĩa là xóa thông tin khỏi PC, máy chủ và thiết bị mạng để thông tin không rơi vào tay kẻ tấn công.
Mới đây, GitLab đã phát hành bản cập nhật khẩn cấp, phiên bản 16.0.1 cho GitLab Community Edition (CE) và Enterprise Edition (EE) để giải quyết lỗ hổng nghiêm trọng trong phiên bản 16.0.0 có điểm CVSS 10/10.
09:00 | 05/06/2023