Cyble Research & Intelligence Labs (CRIL) đã phát hiện ra một biến thể mới của phần mềm gián điệp Android, được gọi là “HelloTeacher”, đang nhắm mục tiêu vào những người dùng nhẹ dạ cả tin ở Việt Nam.
HelloTeacher giả dạng thành một ứng dụng nhắn tin phổ biến như Viber hoặc Kik Messenger để lừa các mục tiêu cài đặt nó. Phần mềm độc hại này có các khả năng tinh vi như trích xuất thông tin liên hệ, dữ liệu SMS, ảnh, danh sách ứng dụng đã cài đặt, thậm chí là chụp ảnh và ghi lại màn hình của thiết bị bị nhiễm.
Chưa dừng lại ở đó, kẻ đứng sau HelloTeacher đã cố gắng tích hợp phần mềm gián điệp này với trojan ngân hàng bằng cách lạm dụng dịch vụ trợ năng (accessibility service). Mục tiêu chính của nó tập trung vào người dùng của ba ứng dụng ngân hàng phổ biến của Việt Nam, bao gồm TPBank Mobile, MB Bank và VietinBank iPay
HelloTecheacher được thiết kế để đánh cắp thông tin số dư tài khoản từ “TPBank Mobile”. Nó còn nhắm mục tiêu vào MB Bank với việc cố gắng chèn các giá trị vào các trường dữ liệu của ứng dụng di động MB Bank. Mặc dù mô-đun tấn công vẫn chưa được hoàn thành, nhưng tác nhân đe dọa đằng sau phần mềm độc hại này có thể tiếp tục tạo thêm các tính năng mới.
Phân tích một mẫu của phần mềm độc hại, các nhà nghiên cứu phát hiện nó đã sử dụng tên và biểu tượng của ứng dụng Viber hợp pháp nhằm lừa người dùng cài đặt ứng dụng này trên thiết bị của họ.
Sau khi cài đặt, HelloTeacher sẽ yêu cầu nạn nhân kích hoạt dịch vụ trợ năng. Sau đó, nó bắt đầu lạm dụng dịch vụ này để cấp quyền tự động và thực thi các chức năng trojan ngân hàng. Đồng thời, ở chế độ nền, phần mềm độc hại kết nối với máy chủ điều khiển tấn công (C&C) hxxp://api.sixmiss[.]com/abb-api/client/ để gửi thông tin bị đánh cắp, bao gồm thông tin thiết bị cơ bản, thông tin liên hệ, SMS và các dữ liệu khác.
Phần mềm độc hại lạm dụng các dịch vụ Trợ năng để theo dõi các sự kiện liên quan đến ứng dụng ngân hàng được nhắm mục tiêu. Khi phát hiện tương tác của người dùng với ứng dụng TPbank Mobile, nó sẽ kiểm tra và truy xuất thông tin số dư tài khoản của ứng dụng ngân hàng (“com.tpb.mb.gprsandroid:id/accBalance”). Ngoài ra, nó còn lợi dụng dịch vụ Trợ năng để đánh cắp mẫu khóa hoặc mật khẩu.
Mã độc HelloTeacher cũng giám sát các hành động của nạn nhân liên quan đến ứng dụng di động MB Bank và kiểm tra các thông tin đăng nhập, mật khẩu và tên người dùng, của ứng dụng MB Bank Mobile.
Mã nguồn chưa hoàn chỉnh cho thấy phần mềm độc hại vẫn đang trong giai đoạn phát triển, bao gồm việc mở rộng các chức năng của trojan ngân hàng.
Phần mềm độc hại có khả năng nhận lệnh từ máy chủ C&C và thực hiện các hoạt động độc hại trên thiết bị bị xâm nhập như thực hiện các thao tác tự động, điều khiển màn hình, đồng thời ngăn người dùng gỡ cài đặt,...
Phần mềm độc hại này đang triển khai một dịch vụ thử nghiệm có tên “HelloTeacherService”. Mục đích của dịch vụ này hiện vẫn chưa được xác định rõ ràng, nhưng tác nhân đe dọa có thể thêm các chức năng mới vào dịch vụ thử nghiệm này.
Một điểm đáng chú ý là một số chuỗi ngôn ngữ Trung Quốc đã được phát hiện trong mã nguồn HelloTeacher. Các chuỗi này được sử dụng để ghi log và trao đổi dữ liệu với C&C. Điều này cho thấy khả năng tin tặc đằng sau phần mềm độc hại HelloTeacher có thể có nguồn gốc từ Trung Quốc.
Kết luận
Phát hiện này cho thấy tin tặc đang ngày càng tinh vi và luôn tìm cách tạo ra các chiêu trò lừa đảo mới. Tác nhân đe dọa đằng sau phần mềm gián điệp HelloTeacher đã thể hiện ý định kết hợp các chức năng của trojan ngân hàng. Sự tồn tại của các tính năng trojan ngân hàng chưa hoàn thiện cho thấy phần mềm độc hại đang được phát triển và hoàn thiện, có khả năng xuất hiện một biến thể mới trong tương lai gần.
Để bảo vệ khỏi các phần mềm độc hại tinh vi như vậy, điều quan trọng là người dùng cần phải cảnh giác, không tải xuống hay cài đặt các ứng dụng từ các cửa hàng của bên thứ ba hoặc các trang web không tin cậy.
Nguồn: blog.cyble.com
Tín nhiệm mạng | Outlook.com đã gặp phải một loạt sự cố ngừng hoạt động trong khi nhóm tin tặc Anonymous Sudan tuyên bố thực hiện các cuộc tấn công DDoS vào dịch vụ này
Tín nhiệm mạng | Hàng chục nghìn ứng dụng phần mềm quảng cáo dành cho Android đã bị phát hiện là giả dạng các phiên bản bẻ khóa hoặc sửa đổi của các ứng dụng phổ biến để phát tán quảng cáo
Tín nhiệm mạng | Google đã phát hành các bản cập nhật bảo mật để vá một lỗ hổng nghiêm trọng trong trình duyệt web Chrome mà hãng cho biết là đang bị khai thác trong thực tế.
Tín nhiệm mạng | Google đã xóa khỏi Cửa hàng Chrome 32 tiện ích độc hại được thiết kế thay đổi kết quả tìm kiếm và hiển thị kết quả độc hại lên đầu hoặc hiển thị các quảng cáo không mong muốn. Các tiện ích độc hại này đã có tổng số lượt tải xuống là 75 triệu.
Tín nhiệm mạng | Atomic Wallet đang điều tra các báo cáo về hành vi trộm cắp tiền điện tử quy mô lớn từ ví của người dùng, với hơn 35 triệu đô la tiền điện tử được báo cáo là đã bị đánh cắp.
Tín nhiệm mạng | Một chiến dịch mới liên quan đến mã độc botnet Hotabot đã nhắm mục tiêu đến những người nói tiếng Tây Ban Nha ở Mỹ Latinh kể từ ít nhất là tháng 11 năm 2020 để lây nhiễm banking trojan và công cụ spam thư điện tử.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
