Phiên bản mới của Trojan Android Xenomorph đánh cắp dữ liệu từ 400 ứng dụng ngân hàng

16:00 | 17/03/2023 | HACKER / MALWARE

Trojan Android Xenomorph đã quay trở lại với phiên bản mới cùng các tính năng bổ sung và cải tiến để thực hiện các cuộc tấn công độc hại, bao gồm khung hệ thống chuyển tiền tự động (Automated Transfer System - ATS) và khả năng đánh cắp thông tin đăng nhập từ 400 ứng dụng ngân hàng khác nhau.

Phiên bản mới của Trojan Android Xenomorph đánh cắp dữ liệu từ 400 ứng dụng ngân hàng

Xenomorph lần đầu tiên được phát hiện bởi công ty an ninh mạng ThreatFabric (Hà Lan) vào tháng 02/2022, mã độc này là một trojan ngân hàng được phân phối thông qua các ứng dụng độc hại trên cửa hàng Google Play, đã có hơn 50 nghìn lượt người dùng tải xuống trong phiên bản này (Xenomorph v1). Điều khiến Xenomorph trở nên đặc biệt nguy hiểm đó là cách nó thực hiện các cuộc tấn công lớp phủ (overlay) và lạm dụng quyền của dịch vụ trợ năng trên 56 ứng dụng ngân hàng tại châu Âu, để thực hiện chặn thông báo nhằm đánh cắp mã một lần (OTP), từ đó thu thập thông tin đăng nhập của người dùng và rút cạn tài khoản của họ.

Tác giả của Xenomorph, “Hadoken Security” tiếp tục phát triển trojan độc hại này trong suốt năm 2022, nhưng các bản phát hành mới hơn của nó không bao giờ được phân phối với số lượng lớn. Thay vào đó, Xenomorph v2, được phát hành vào tháng 6/2022, chỉ có một khoảng thời gian hoạt động thử nghiệm ngắn trên thực tế. Tuy nhiên, phiên bản thứ hai đáng chú ý vì đã được chỉnh sửa và tối ưu mã lệnh, khiến nó trở nên linh hoạt hơn.

Phiên bản mới Xenomorph v3

Xenomorph v3 có khả năng và hoàn thiện hơn nhiều so với các phiên bản trước, có thể tự động đánh cắp dữ liệu, bao gồm thông tin đăng nhập, số dư tài khoản, thực hiện các giao dịch ngân hàng và hoàn tất chuyển tiền. Trong báo cáo mới nhất về tính năng này, ThreatFabric đưa ra cảnh báo: “Với những tính năng mới, Xenomorph hiện có thể hoàn thành tự động hóa toàn bộ chuỗi đánh cắp, từ lây nhiễm đến rút tiền, khiến nó trở thành một trong những trojan độc hại nguy hiểm nhất trên hệ điều hành Android”.

Sau khi xem xét các mẫu của Xenomorph v3, ThreatFabric đã phát hiện ra một trang web chuyên quảng cáo phiên bản mới nhất của Trojan này. Các nhà nghiên cứu cho rằng có khả năng Hadoken đang có kế hoạch rao bán Xenomorph cho các nhà khai thác thông qua nền tảng MaaS (phần mềm độc hại dưới dạng dịch vụ) và việc ra mắt trang web quảng cáo phiên bản mới của Xenomorph càng củng cố thêm nhận định này.

Trang web quảng cáo của Xenomorph v3

Hiện tại, Xenomorph v3 đang được phân phối thông qua nền tảng “Zombinder” trên cửa hàng Google Play (nền tảng này do tin tặc tạo ra để thêm mã độc vào các ứng dụng Android hợp pháp, đây là những ứng dụng Android thông thường có chứa payload độc hại), đóng vai trò là công cụ chuyển đổi tiền tệ và chuyển sang sử dụng biểu tượng Play Protect sau khi cài đặt các payload độc hại.

Mục tiêu của Xenomorph v3

Phiên bản mới nhất của Xenomorph hướng tới 400 ngân hàng và tổ chức tài chính, chủ yếu từ Mỹ, Tây Ban Nha, Thổ Nhĩ Kỳ, Ba Lan, Úc, Canada, Ý, Bồ Đào Nha, Pháp, Đức, UAE và Ấn Độ.

Mục tiêu của Xenomorph v3 tại các quốc gia

Một số ví dụ về các tổ chức được nhắm mục tiêu, bao gồm: Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, Ngân hàng Quốc gia Canada, BBVA, Santander và Caixa. Bên cạnh 400 ứng dụng ngân hàng và tổ chức tài chính, giờ đây trojan này còn nhắm mục tiêu đến một số ví tiền điện tử, bao gồm Binance, BitPay, KuCoin, Gemini và Coinbase.

Vượt qua xác thực MFA

Tính năng đáng chú ý nhất được giới thiệu trong phiên bản Xenomorph v3 là khung ATS, cho phép tin tặc có thể tự động trích xuất thông tin xác thực, kiểm tra số dư tài khoản, thực hiện giao dịch và đánh cắp tài chính từ các ứng dụng mục tiêu mà không cần thực hiện các hành động từ xa trên thiết bị Android bị nhiễm. Thay vào đó, người điều khiển chỉ cần gửi các tập lệnh JSON mà Xenomorph chuyển đổi thành một danh sách các hoạt động và thực thi chúng một cách tự động trên thiết bị bị nhiễm.

Các nhà nghiên cứu của ThreatFabrics cho biết: “Khung ATS được Xenomorph v3 sử dụng nổi bật so với các phần mềm độc hại khác nhờ có nhiều lựa chọn hành động có thể lập trình được và có thể được đưa vào tập lệnh ATS, bên cạnh hệ thống cho phép thực thi có điều kiện và ưu tiên hành động”. Ngoài ra, khung ATS còn có khả năng ghi nhật ký nội dung của các ứng dụng xác thực của bên thứ ba, do đó vượt qua các biện pháp bảo vệ xác thực đa yếu tố - MFA và có thể chặn các giao dịch tự động.

Các ngân hàng đang dần từ bỏ tin nhắn SMS MFA và thay vào đó đề nghị khách hàng sử dụng các ứng dụng xác thực như Google Authenticator hoặc Microsoft Authenticator (tuy nhiên không phải tất cả các ngân hàng đều cung cấp tùy chọn này), vì vậy khả năng Xenomorph truy cập các ứng dụng này trên cùng một thiết bị là điều đáng lo ngại.

Trích xuất mã OTP từ ứng dụng Google Authenticator

Đánh cắp cookie

Bên cạnh những tính năng trên, Xenomorph v3 thậm chí còn có thể đánh cắp cookie và có thể lấy cookie trên điện thoại của nạn nhân từ Android CookieManager, nơi lưu trữ cookie phiên của người dùng. Xenomorph v3 thực hiện điều này bằng cách khởi chạy một cửa sổ trình duyệt có URL của một dịch vụ hợp pháp với giao diện JavaScript được mở ra, sau đó đánh lừa nạn nhân nhập thông tin đăng nhập của họ. Với các phiên cookie này, cho phép tin tặc có thể chiếm quyền điều khiển các phiên truy cập web của nạn nhân và chiếm đoạt tài khoản của họ.

Quy trình đánh cắp cookie của Xenomorph v3

Bảo vệ và ngăn chặn lây nhiễm trên thiết bị

Xenomorph là một trojan mới đáng chú ý vào một năm trước. Giờ đây, với việc phát hành phiên bản chính thứ 3, nó là mối đe dọa lớn hơn nhiều đối với người dùng Android trên toàn thế giới, khi có thể rút tài khoản ngân hàng và chiếm đoạt các tài khoản trực tuyến khác của nạn nhân, vì nó có thể tự động đánh cắp thông tin mật khẩu lưu trữ.

Hiện tại, Xenomorph v3 đang được phân phối bằng Zombinder trên cửa hàng Google Play, vì thế để bảo vệ và phòng chống trước mối đe dọa lây nhiễm độc hại của trojan này cũng như các loại phần mềm độc hại khác, người dùng chú ý như sau:

Nên thận trọng và chỉ tải xuống ứng dụng từ các cửa hàng ứng dụng chính thức (ví dụ như Google Play), các thư viện của bên thứ 3 không có các bước bảo mật mạnh mẽ và không đảm bảo được an toàn.
Trước khi tải xuống, cần đọc kỹ các bài đánh giá và xếp hạng của các ứng dụng đó. Đồng thời, nên hạn chế sử dụng các ứng dụng trên điện thoại ở mức tối thiểu có thể.
Không nhấp vào liên kết hoặc tệp đính kèm mà người dùng nhận được trong các email hoặc tin nhắn lạ, không mong muốn. Chúng có thể chứa phần mềm độc hại và lây nhiễm vào thiết bị của người dùng hoặc đánh cắp thông tin nhạy cảm.
Không sử dụng mật khẩu mặc định, sử dụng mật khẩu mạnh và duy nhất, chủ động định kỳ thay đổi mật khẩu một lần.
Đối với việc bảo vệ điện thoại Android, người dùng cần phải đảm bảo rằng Google Play Protect được bật vì nó quét các ứng dụng hiện có và bất kỳ ứng dụng mới nào được cài đặt để tìm mã độc. Để được bảo vệ thêm, người dùng có thể cài đặt một trong những ứng dụng chống virus Android tốt nhất cùng với ứng dụng đó.

Hồng Đạt

‹ › ×

Tin liên quan

Xenomorph - Trojan ngân hàng mới trên Android

14:00 | 07/03/2022

Mới đây, các nhà nghiên cứu tới từ công ty bảo mật ThreatFnai (Hà Lan) đã đưa ra cảnh báo về một trojan ngân hàng mới trên nền tảng Android, ghi nhận với hơn 50.000 lượt cài đặt và phát tán thông qua cửa hàng ứng dụng Google Play. Mã độc này nhắm mục tiêu thu thập các thông tin nhạy cảm của người dùng đến từ 56 ngân hàng khác nhau tại Châu Âu.

Phát hiện Trojan Android đánh cắp hơn 300.000 tài khoản Facebook

14:00 | 09/12/2022

Một chiến dịch đánh cắp tài khoản Facebook vừa được phát hiện với hơn 300.000 tài khoản bị tấn công, chủ yếu tại Việt Nam, Trojan Android này đã giả dạng các ứng dụng giáo dục để thực hiện hành vi đánh cắp thông tin đăng nhập tài khoản Facebook từ các thiết bị bị nhiễm.

Cách loại bỏ trojan, virus, worm và các phần mềm độc hại

14:00 | 09/12/2022

Phần mềm độc hại đã trở thành khái niệm không còn xa lạ đối với người dùng hiện nay. Tuy nhiên, chúng được phân loại và có cách thức hoạt động khác nhau. Bài viết này hướng dẫn người dùng cách loại bỏ những phần mềm độc hại thuộc dạng virus, trojan, worm.

Tin cùng chuyên mục

GoBruteforcer: Mã độc mới xâm phạm máy chủ web thông qua tấn công Brute-Force

08:00 | 22/03/2023

GoBruteforcer là một chủng mã độc mới phát triển gần đây dựa trên ngôn ngữ lập trình Golang và được các tin tặc sử dụng để lây nhiễm vào mạng botnet trên các máy chủ chạy một số dịch vụ như phpMyAdmin, MySQL, FTP và Postgres.

Cảnh báo nguy cơ lừa đảo liên quan đến ChatGPT

10:00 | 13/03/2023

Mới đây, Công ty an ninh mạng Darktrace của Anh đã phát cảnh báo công cụ trò chuyện ChatGPT sử dụng trí tuệ nhân tạo có thể đã làm gia tăng các vụ lừa đảo trên không gian mạng với những thủ đoạn hết sức tinh vi.

Cảnh báo biến thể mới của phần mềm độc hại ngân hàng Dridex

10:00 | 18/01/2023

Mới đây, các nhà nghiên cứu bảo mật tại Trend Micro đã cảnh báo về biến thể mới của phần mềm độc hại ngân hàng Dridex, được phát tán thông qua các tệp đính kèm trong email.

Sự trở lại của SpyNote: Phần mềm gián điệp trên Android với mục tiêu nhắm vào các tổ chức tài chính

08:00 | 16/01/2023

Công ty an ninh mạng ThreatFabric (Hà Lan) vừa đưa ra cảnh báo về một chiến dịch tấn công mạng nhắm vào các tổ chức tài chính, chiến dịch này sử dụng biến thể mới (với các đặc điểm của phần mềm gián điệp và trojan ngân hàng) của phần mềm độc hại trên Android có tên gọi là “SpyNote”, đã phát tán và lây nhiễm cho người dùng ít nhất từ tháng 10/2022.