🔥 Hộ kinh doanh Vựa Gym đã đăng ký tín nhiệm. 🔥                    🔥 Công ty TNHH Kỹ Thuật Phúc Thịnh-AP FOODS đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Thương Mại Dịch Vụ Halink đã đăng ký tín nhiệm. 🔥                    🔥 Nhặt Xu đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty Cổ Phần TM DV Clean 24H đã đăng ký tín nhiệm. 🔥                   

MaliBot đang nhắm mục tiêu vào người dùng ví tiền điện tử và ngân hàng trực tuyến

19/06/2022

Vài tuần sau khi FluBot bị triệt phá, các nhà nghiên cứu đã phát hiện một mã độc Android mới đang nhắm mục tiêu vào người dùng ví tiền điện tử và ngân hàng trực tuyến ở Tây Ban Nha và Ý.

Trojan được các nhà nghiên cứu F5 Labs gọi là MaliBot, có đầy đủ tính năng như các trojan banking phổ biến, cho phép nó đánh cắp thông tin đăng nhập và cookie, vượt qua xác thực đa yếu tố (MFA) và lạm dụng dịch vụ hỗ trợ (Accessibility Service) của Android để theo dõi màn hình thiết bị của nạn nhân.

MaliBot chủ yếu giả dạng các ứng dụng khai thác tiền điện tử như Mining X hoặc The CryptoApp và được phán tán thông qua các trang web lừa đảo.

Nó còn có khả năng truy cập danh bạ trên thiết bị bị nhiễm và gửi các tin nhắn SMS có chứa liên kết đến phần mềm độc hại để phát tán mã độc.

Nhà nghiên cứu Dor Nizar của F5 Labs cho biết: “các máy chủ điều khiển MaliBot được đặt ở Nga và dường như giống với các máy chủ đã được sử dụng trong chiến dịch phát tán mã độc Sality-phiên bản câng cấp của phần mềm độc hại SOVA”.

SOVA được phát hiện lần đầu vào tháng 8 năm 2021, đáng chú ý vì khả năng thực hiện các cuộc tấn công overlay bằng cách sử dụng WebView để hiển thị một trang web lừa đảo chứa liên kết độc hại nếu nạn nhân mở một ứng dụng ngân hàng có trong danh sách mục tiêu của nó.

"Bất kỳ ứng dụng nào sử dụng WebView đều có thể bị đánh cắp thông tin đăng nhập và cookie của người dùng."

Một số ngân hàng bị MaliBot nhắm mục tiêu bao gồm UniCredit, Santander, CaixaBank và CartaBCC.

Accessibility Service là một dịch vụ chạy ở chế độ background trong các thiết bị Android để hỗ trợ người khuyết tật. Từ lâu nó đã bị phần mềm gián điệp và trojan lạm dụng để đánh cắp thông tin thiết bị và thông tin đăng nhập vào các ứng dụng.

Malibot có thể lợi dụng quyền truy cập vào Accessibility API để vượt qua các kiểm tra xác thực hai yếu tố (2FA) của Google như  Google prompts, ngay cả trong các trường hợp cố gắng đăng nhập vào tài khoản bằng thông tin đăng nhập bị đánh cắp từ một thiết bị không xác định trước đó.

Bên cạnh khả năng lấy cắp mật khẩu và cookie trong tài khoản Google của nạn nhân, MaliBot còn được thiết kế để quét mã 2FA từ ứng dụng Google Authenticator và lấy cắp thông tin nhạy cảm như số dư tài khoản và các seed phrases từ các ứng dụng Binance và Trust Wallet. 

Các nhà nghiên cứu cho biết: “Tính linh hoạt và khả năng kiểm soát thiết bị của mã độc này có thể được sử dụng cho một loạt các cuộc tấn công khác, không chỉ đánh cắp thông tin đăng nhập và tiền điện tử”.

Nguồn: thehackernews.com 

scrolltop