Trojan này được các nhà nghiên cứu của ThreatFnai đặt tên là Xenomorph. Theo phân tích của công ty bảo mật có trụ sở tại Hà Lan cho biết, mã độc đang trong quá trình phát triển, đồng thời một số đoạn mã được tìm thấy có nhiều điểm tương đồng với một trojan ngân hàng khác có tên gọi là Alien, điều này cho thấy một sự liên hệ nào đó giữa 2 trojan độc hại này.
Đoạn mã code của Xenomorph và Alien
Alien là một trojan truy cập từ xa (RAT) với những tính năng để vượt qua các biện pháp bảo mật xác thực 2 yếu tố (2FA), nhằm đánh cắp thông tin đăng nhập của nạn nhân, xuất hiện ngay sau khi mã độc khét tiếng Cerberus bị ngăn chặn vào tháng 8/2020. Kể từ đó, các biến thể khác của Cerberus đã được phát hiện trên thực tế, bao gồm cả ERMAC vào tháng 9/2021.
Theo Han Sahin, Giám đốc điều hành của ThreatFnai chia sẻ: “Mặc dù đang trong quá trình phát triển ban đầu, nhưng Xenomorph đã sử dụng các cuộc tấn công lớp phủ một cách hiệu quả và được phân phối trên các cửa hàng ứng dụng chính thức. Bên cạnh đó, Xenomorph được thiết kế với các tính năng và mô-đun rất chi tiết để lợi dụng các dịch vụ trợ năng (Accessibility Service) trên Android, với mục đích mở rộng khả năng xâm nhập trên thiết bị nạn nhân”.
Tương tự như Alien và ERMAC, Xenomorph là một ví dụ khác về trojan ngân hàng Android tập trung vào việc phá vỡ các biện pháp bảo mật của Google Play, bằng cách giả mạo các ứng dụng được nhiều người dùng sử dụng như Fast Cleaner, qua đó đánh lừa các nạn nhân cài đặt mã độc, từ đó có thể truy cập vào tài khoản ngân hàng nạn nhân và thực hiện đánh cắp những thông tin có giá trị.
.jpg)
Ứng dụng chứa mã độc Fast Cleaner
Theo số liệu nghiên cứu từ công ty ứng dụng di động Sensor Tower tiết lộ, Fast Cleaner lần đầu xuất hiện trên Google Play từ cuối tháng 1/2022, ứng dụng giả mạo này có tên gói package là vizeeva.fast.cleaner và đang có sẵn trên cửa hàng ứng dụng Google Play. Hiện ứng dụng này khá phổ biến tại Bồ Đào Nha và Tây Ban Nha.
Trước đó vào tháng 11/2021, một ứng dụng Dropper với tên gọi GymDrop và ngụy trang dưới vỏ bọc ứng dụng chuyên về luyện tập thể dục thể thao, cũng đã được các nhà nghiên cứu phát hiện khi phát tán trojan Alien với hơn 10.000 lượt người dùng cài đặt.
Chức năng của Xenomorph vẫn chưa hoàn thiện vào thời điểm này. Tuy nhiên, trojan này vẫn thể hiện là một mối đe dọa đáng kể vì có thể thực hiện mục đích đánh cắp thông tin của mình từ 56 ngân hàng khác nhau tại Châu Âu. Ví dụ, Xenomorph có thể chặn thông báo, thu thập tin nhắn SMS và thực hiện các cuộc tấn công lớp phủ, vì vậy nó đã có thể lấy thông tin xác thực và mật khẩu dùng một lần của nạn nhân. Sau khi cài đặt ứng dụng trên thiết bị, hành động đầu tiên mà Xenomorph thực hiện là gửi lại danh sách các gói package đã có trên thiết bị nạn nhân để tải các lớp phủ phù hợp.
Để đạt được những điều trên, ứng dụng sẽ yêu cầu nạn nhân cấp quyền của dịch vụ trợ năng khi cài đặt, sau đó lợi dụng những quyền này để tự cấp thêm quyền khi cần thiết và thực hiện các cuộc tấn công lớp phủ, lúc này mã độc sẽ tạo ra các màn hình đăng nhập giả mạo lên trên các ứng dụng được nhắm mục tiêu (từ các quốc gia Châu Âu như Tây Ban Nha, Bồ Đào Nha, Ý và Bỉ) để trích xuất thông tin xác thực và một số thông tin cá nhân quan trọng khác.
.png)
Ứng dụng yêu cầu cấp quyền của dịch vụ trợ năng
Bên cạnh đó, Xenomorph được trang bị tính năng chặn thông báo để trích xuất mã thông báo xác thực hai yếu tố được gửi qua tin nhắn SMS và nhận danh sách các ứng dụng đã cài đặt. Kết quả sẽ được chuyển sang máy chủ C&C kiểm soát từ xa.
Hiện tại, các bài đánh giá về Fast Cleaner từ người dùng đã cảnh báo rằng “ứng dụng có mã độc” và nó “yêu cầu xác nhận cập nhật liên tục”. Một người dùng khác cho biết: “Fast Cleaner tải mã độc vào thiết bị và điều đặc biệt ứng dụng này còn có tính năng tự bảo vệ để người dùng không thể gỡ cài đặt”.
Theo các nhà nghiên cứu nhận xét: “Sự xuất hiện của Xenomorph một lần nữa cho thấy rằng, tin tặc đang tập trung sự chú ý của họ vào các ứng dụng phổ biến mà người dùng thường hướng tới trên các các cửa hàng ứng dụng chính thống. Các hình thức và biến thể mã độc ngân hàng đang ngày càng phát triển với tốc độ rất nhanh.Song song, các tin tặc cũng đang bắt đầu nghiên cứu, áp dụng các phương pháp tinh vi để thực hiện nhiều cuộc tấn công hơn nữa trong tương lai”.
Lê Thị Bích Hằng
- Đinh Hồng Đạt
15:00 | 17/02/2022
16:00 | 17/03/2023
15:00 | 15/03/2022
09:00 | 25/11/2022
15:00 | 26/10/2023
15:00 | 10/06/2021
15:00 | 15/04/2022
13:00 | 22/02/2022
14:00 | 09/12/2022
11:00 | 29/02/2024
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
