Phát hiện banking trojan mới giả dạng các ứng dụng chống vi-rút trên Google Play

Mới đây, các nhà nghiên cứu đã phát hiện bảy ứng dụng Android độc hại trên Cửa hàng Google Play giả dạng ứng dụng chống vi-rút để triển khai mã độc SharkBot.

Nhà nghiên cứu Alex Shamshur và Raman Ladutska của Check Point cho biết: “SharkBot là một banking trojan được thiết kế để đánh cắp thông tin xác thực và thông tin ngân hàng. Nó còn có khả năng triển khai tính năng định vị và có các kỹ thuật trốn tránh để vượt qua hệ thống kiểm tra bảo mật."

Các ứng dụng giả mạo đã có hơn 15.000 lượt cài đặt trước khi bị xóa, với hầu hết các nạn nhân ở Ý và Anh.

Báo cáo bổ sung về các phát hiện trước đó của NCC Group cho thấy bankbot giả dạng ứng dụng chống vi-rút để thực hiện các giao dịch trái phép thông qua Hệ thống chuyển tiền tự động (ATS).

SharkBot lợi dụng các quyền mà ứng dụng được cấp để tạo ra lớp giao diện trong suốt phủ trên các ứng dụng ngân hàng hợp pháp. Khi người dùng nhập thông tin tên và mật khẩu của họ trong các biểu mẫu xác thực của các ứng dụng, dữ liệu này sẽ bị lấy cắp và được gửi đến một máy chủ độc hại.

Một tính năng đáng chú ý của SharkBot là khả năng tự động trả lời thông báo từ Facebook Messenger và WhatsApp để gửi liên kết lừa đảo dẫn đến trang tải ứng dụng chống vi-rút. Tính năng này đã được biết đến trước đó trong banking trojan FluBot vào đầu tháng Hai.

Alexander Chailytko, giám đốc cơ quan nghiên cứu bảo mật tại Check Point Software cho biết: “kẻ tấn công đã gửi tin nhắn có chứa các liên kết độc hại đến nạn nhân, dẫn đến việc phát tán mã độc trên diện rộng”.

Phát hiện mới nhất được đưa ra khi Google tiến hành các biện pháp để loại bỏ 11 ứng dụng khỏi Play Store vào ngày 25 tháng 3 sau khi phát hiện chúng có tích hợp một SDK độc hại để lén thu thập dữ liệu của người dùng, bao gồm thông tin vị trí, email, số điện thoại, mật khẩu,...

Nguồn: thehackernews.com.