Vài tuần sau khi FluBot bị triệt phá, các nhà nghiên cứu đã phát hiện một mã độc Android mới đang nhắm mục tiêu vào người dùng ví tiền điện tử và ngân hàng trực tuyến ở Tây Ban Nha và Ý.
Trojan được các nhà nghiên cứu F5 Labs gọi là MaliBot, có đầy đủ tính năng như các trojan banking phổ biến, cho phép nó đánh cắp thông tin đăng nhập và cookie, vượt qua xác thực đa yếu tố (MFA) và lạm dụng dịch vụ hỗ trợ (Accessibility Service) của Android để theo dõi màn hình thiết bị của nạn nhân.
MaliBot chủ yếu giả dạng các ứng dụng khai thác tiền điện tử như Mining X hoặc The CryptoApp và được phán tán thông qua các trang web lừa đảo.
Nó còn có khả năng truy cập danh bạ trên thiết bị bị nhiễm và gửi các tin nhắn SMS có chứa liên kết đến phần mềm độc hại để phát tán mã độc.
Nhà nghiên cứu Dor Nizar của F5 Labs cho biết: “các máy chủ điều khiển MaliBot được đặt ở Nga và dường như giống với các máy chủ đã được sử dụng trong chiến dịch phát tán mã độc Sality-phiên bản câng cấp của phần mềm độc hại SOVA”.
SOVA được phát hiện lần đầu vào tháng 8 năm 2021, đáng chú ý vì khả năng thực hiện các cuộc tấn công overlay bằng cách sử dụng WebView để hiển thị một trang web lừa đảo chứa liên kết độc hại nếu nạn nhân mở một ứng dụng ngân hàng có trong danh sách mục tiêu của nó.
"Bất kỳ ứng dụng nào sử dụng WebView đều có thể bị đánh cắp thông tin đăng nhập và cookie của người dùng."
Một số ngân hàng bị MaliBot nhắm mục tiêu bao gồm UniCredit, Santander, CaixaBank và CartaBCC.
Accessibility Service là một dịch vụ chạy ở chế độ background trong các thiết bị Android để hỗ trợ người khuyết tật. Từ lâu nó đã bị phần mềm gián điệp và trojan lạm dụng để đánh cắp thông tin thiết bị và thông tin đăng nhập vào các ứng dụng.
Malibot có thể lợi dụng quyền truy cập vào Accessibility API để vượt qua các kiểm tra xác thực hai yếu tố (2FA) của Google như Google prompts, ngay cả trong các trường hợp cố gắng đăng nhập vào tài khoản bằng thông tin đăng nhập bị đánh cắp từ một thiết bị không xác định trước đó.
Bên cạnh khả năng lấy cắp mật khẩu và cookie trong tài khoản Google của nạn nhân, MaliBot còn được thiết kế để quét mã 2FA từ ứng dụng Google Authenticator và lấy cắp thông tin nhạy cảm như số dư tài khoản và các seed phrases từ các ứng dụng Binance và Trust Wallet.
Các nhà nghiên cứu cho biết: “Tính linh hoạt và khả năng kiểm soát thiết bị của mã độc này có thể được sử dụng cho một loạt các cuộc tấn công khác, không chỉ đánh cắp thông tin đăng nhập và tiền điện tử”.
Nguồn: thehackernews.com
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã tiết lộ chi tiết về lỗ hổng bảo mật mức cao được vá gần đây trong thư viện phổ biến Fastjson, có thể bị khai thác để thực thi mã từ xa.
Tín nhiệm mạng | Cloudflare vừa ngăn chặn một cuộc tấn công DDoS HTTPS lớn nhất lịch sự với kỷ lục 26 triệu request trên mỗi giây.
Tín nhiệm mạng | SeaFlower nhắm mục tiêu vào người dùng Android và iOS trong một chiến dịch giả mạo các trang web ví tiền điện tử chính thức để phát tán mã độc và đánh cắp tiền điện tử của nạn nhân.
Tín nhiệm mạng | Một cuộc tấn công phần cứng mới có tên PACMAN đã được chứng minh nhằm vào processor chipsets M1 của Apple, có khả năng cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống macOS.
Tín nhiệm mạng | Nhóm nghiên cứu từ Đại học California San Diego đã phát hiện ra tín hiệu Bluetooth có thể bị lạm dụng để theo dõi điện thoại thông minh.
Tín nhiệm mạng | Microsoft đã triển khai giao diện tab File Explorer mới trong bản phát hành Windows 11 Insider Preview Build 25136 cho Dev Channel nhằm hỗ trợ người dùng làm việc tại nhiều vị trí cùng lúc.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
