🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Trường Đại học Kinh tế Kỹ thuật - Công nghiệp đã đăng ký tín nhiệm. 🔥                    🔥 Sở Tư pháp tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                    🔥 Trang Thông tin về Phổ biến, giáo dục pháp luật tỉnh Lâm Đồng đã đăng ký tín nhiệm. 🔥                   

HelloTeacher, phần mềm độc hại Android mới nhắm vào người dùng ngân hàng tại Việt Nam

09/06/2023

Cyble Research & Intelligence Labs (CRIL) đã phát hiện ra một biến thể mới của phần mềm gián điệp Android, được gọi là “HelloTeacher”, đang nhắm mục tiêu vào những người dùng nhẹ dạ cả tin ở Việt Nam.

HelloTeacher giả dạng thành một ứng dụng nhắn tin phổ biến như Viber hoặc Kik Messenger để lừa các mục tiêu cài đặt nó. Phần mềm độc hại này có các khả năng tinh vi như trích xuất thông tin liên hệ, dữ liệu SMS, ảnh, danh sách ứng dụng đã cài đặt, thậm chí là chụp ảnh và ghi lại màn hình của thiết bị bị nhiễm.

Chưa dừng lại ở đó, kẻ đứng sau HelloTeacher đã cố gắng tích hợp phần mềm gián điệp này với trojan ngân hàng bằng cách lạm dụng dịch vụ trợ năng (accessibility service). Mục tiêu chính của nó tập trung vào người dùng của ba ứng dụng ngân hàng phổ biến của Việt Nam, bao gồm TPBank Mobile, MB Bank và VietinBank iPay

HelloTecheacher được thiết kế để đánh cắp thông tin số dư tài khoản từ “TPBank Mobile”. Nó còn nhắm mục tiêu vào MB Bank với việc cố gắng chèn các giá trị vào các trường dữ liệu của ứng dụng di động MB Bank. Mặc dù mô-đun tấn công vẫn chưa được hoàn thành, nhưng tác nhân đe dọa đằng sau phần mềm độc hại này có thể tiếp tục tạo thêm các tính năng mới.

Phân tích một mẫu của phần mềm độc hại, các nhà nghiên cứu phát hiện nó đã sử dụng tên và biểu tượng của ứng dụng Viber hợp pháp nhằm lừa người dùng cài đặt ứng dụng này trên thiết bị của họ.

Sau khi cài đặt, HelloTeacher sẽ yêu cầu nạn nhân kích hoạt dịch vụ trợ năng. Sau đó, nó bắt đầu lạm dụng dịch vụ này để cấp quyền tự động và thực thi các chức năng trojan ngân hàng. Đồng thời, ở chế độ nền, phần mềm độc hại kết nối với máy chủ điều khiển tấn công (C&C) hxxp://api.sixmiss[.]com/abb-api/client/ để gửi thông tin bị đánh cắp, bao gồm thông tin thiết bị cơ bản, thông tin liên hệ, SMS và các dữ liệu khác.

Phần mềm độc hại lạm dụng các dịch vụ Trợ năng để theo dõi các sự kiện liên quan đến ứng dụng ngân hàng được nhắm mục tiêu. Khi phát hiện tương tác của người dùng với ứng dụng TPbank Mobile, nó sẽ kiểm tra và truy xuất thông tin số dư tài khoản của ứng dụng ngân hàng (“com.tpb.mb.gprsandroid:id/accBalance”). Ngoài ra, nó còn lợi dụng dịch vụ Trợ năng để đánh cắp mẫu khóa hoặc mật khẩu.

Mã độc HelloTeacher cũng giám sát các hành động của nạn nhân liên quan đến ứng dụng di động MB Bank và kiểm tra các thông tin đăng nhập, mật khẩu và tên người dùng, của ứng dụng MB Bank Mobile.

Mã nguồn chưa hoàn chỉnh cho thấy phần mềm độc hại vẫn đang trong giai đoạn phát triển, bao gồm việc mở rộng các chức năng của trojan ngân hàng.

Phần mềm độc hại có khả năng nhận lệnh từ máy chủ C&C và thực hiện các hoạt động độc hại trên thiết bị bị xâm nhập như thực hiện các thao tác tự động, điều khiển màn hình, đồng thời ngăn người dùng gỡ cài đặt,...

Phần mềm độc hại này đang triển khai một dịch vụ thử nghiệm có tên “HelloTeacherService”. Mục đích của dịch vụ này hiện vẫn chưa được xác định rõ ràng, nhưng tác nhân đe dọa có thể thêm các chức năng mới vào dịch vụ thử nghiệm này.

Một điểm đáng chú ý là một số chuỗi ngôn ngữ Trung Quốc đã được phát hiện trong mã nguồn HelloTeacher. Các chuỗi này được sử dụng để ghi log và trao đổi dữ liệu với C&C. Điều này cho thấy khả năng tin tặc đằng sau phần mềm độc hại HelloTeacher có thể có nguồn gốc từ Trung Quốc.

Kết luận

Phát hiện này cho thấy tin tặc đang ngày càng tinh vi và luôn tìm cách tạo ra các chiêu trò lừa đảo mới. Tác nhân đe dọa đằng sau phần mềm gián điệp HelloTeacher đã thể hiện ý định kết hợp các chức năng của trojan ngân hàng. Sự tồn tại của các tính năng trojan ngân hàng chưa hoàn thiện cho thấy phần mềm độc hại đang được phát triển và hoàn thiện, có khả năng xuất hiện một biến thể mới trong tương lai gần.

Để bảo vệ khỏi các phần mềm độc hại tinh vi như vậy, điều quan trọng là người dùng cần phải cảnh giác, không tải xuống hay cài đặt các ứng dụng từ các cửa hàng của bên thứ ba hoặc các trang web không tin cậy.

Nguồn: blog.cyble.com

scrolltop