🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Tin tặc sử dụng vishing để lừa nạn nhân cài đặt phần mềm Banking Android độc hại

14/10/2022

Mới đây, công ty bảo mật ThreatFnai cho biết tin tặc đang sử dụng các chiến thuật lừa đảo bằng giọng nói (vishing) để lừa nạn nhân cài đặt phần mềm Android độc hại trên thiết bị của họ.

ThreatFnai đã phát hiện một mạng lưới các trang web lừa đảo nhắm mục tiêu vào người dùng ngân hàng trực tuyến của Ý để thu thập thông tin liên hệ của người dùng.

Tấn công được thực hiện qua điện thoại (TOAD) như một kỹ thuật social engineering, trong đó kẻ tấn công sẽ gọi cho các nạn nhân dựa trên những thông tin đã thu thập trước đó từ các trang web lừa đảo.

Các đối tượng giả mạo là đại lý hỗ trợ cho ngân hàng, hướng dẫn người nhận cuộc gọi cài đặt một ứng dụng bảo mật, nhưng thực tế đó là phần mềm độc hại cho phép kẻ tấn công truy cập từ xa hoặc thực hiện các giao dịch tài chính trái phép.

Trong trường hợp được phát hiện, kẻ tấn công đã lừa nạn nhân cài đặt một phần mềm Android độc hại có tên Copybara. Copybara là một trojan được phát hiện lần đầu vào tháng 11 năm 2021 và chủ yếu được sử dụng để thực hiện gian lận trên thiết bị thông qua các cuộc tấn công overlay (overlay attack) nhắm vào người dùng Ý.

Overlay attack là một dạng tấn công trong đó kẻ tấn công tạo ra một giao diện vô hình phủ lên giao diện khi người dùng sử dụng các ứng dụng trên thiết bị của họ để thu thập thông tin đăng nhập, mã xác thực,… để sử dụng cho các mục đích độc hại như đánh cắp tiền trong tài khoản.

ThreatFnai nhận định rằng các chiến dịch dựa trên TOAD đã bắt đầu vào cùng một thời điểm, cho thấy hoạt động này đã diễn ra trong gần một năm.

Giống với các mã độc Android khác, Copybara có khả năng RAT (truy cập từ xa) nhờ vào việc lạm dụng API của các dịch vụ trợ năng (accessibility service) của hệ điều hành để thu thập thông tin nhạy cảm và gỡ cài đặt ứng dụng tải xuống (downloader) giúp che dấu dấu vết của nó.

Các nhà nghiên cứu cũng phát hiện cơ sở hạ tầng mà kẻ tấn công đã sử dụng còn lưu trữ một mã độc khác, SMS Spy, cho phép kẻ tấn công truy cập vào tất cả tin nhắn SMS đến và chặn bắt mã OTP do ngân hàng gửi.

Đây là một điển hình cho chiến dịch tấn công hỗn hợp, kẻ tấn công đã kết hợp nhiều kỹ thuật với nhau, từ việc tạo các trang web giả mạo để thu thập thông tin nạn nhân đến gọi điện mạo danh tổ chức ngân hàng để lừa nạn nhân cài đặt phần mềm độc hại. Điều này cho thấy một khía cạnh mới mà tội phạm mạng đang sử dụng trong các chiến dịch phát tán mã độc Android thay vì dựa vào các phương pháp truyền thống như quảng cáo giả mạo hay qua các bản cập nhật ứng dụng hoặc tích hợp trong một ứng dụng khác trên Cửa hàng Google Play.

Đây không phải lần đầu tiên chiến thuật TOAD được sử dụng để phát tán mã độc banking. Tháng trước, MalwareHunterTeam đã chia sẻ chi tiết về một cuộc tấn công tương tự nhằm vào khách hàng của Axis Bank tại Ấn Độ nhằm cài đặt một công cụ đánh cắp thông tin.

ThreatFabric khuyến nghị: “Nếu nhận được bất kỳ cuộc gọi đáng ngờ nào, bạn nên kiểm tra bằng cách gọi cho tổ chức tài chính của bạn”, đồng thời cho biết “các tổ chức tài chính nên cảnh báo cho khách hàng của họ về các chiến dịch độc hại đang diễn ra và tăng cường bảo mật cho các ứng dụng của khách hàng với các cơ chế phát hiện hoạt động đáng ngờ”.

Nguồn: thehackernews.com.

scrolltop