BankBot quay trở lại trên Play Store - câu chuyện không hồi kết về malware trên Android

Sau bao nỗ lực của Google để chặn malware khỏi Play Store, các ứng dụng nhiễm độc vẫn tìm được cách lừa các công cụ chống malware và nhiễm độc Android.

Một nhóm các nhà nghiên cứu vừa phát hiện ra 2 chiến dịch malware mới nhắm tới Google Play Store, một trong số đó phát tán phiên bản BankBot mới. Đây là trojan ngân hàng bắt chước các ứng dụng ngân hàng thật để đánh cắp thông tin đăng nhập thẻ tín dụng bằng cách hiển thị đè lên các ứng dụng ngân hàng, trong đó có Citibank, WellsFargo, Chase và DiBa.

Với khả năng hiển thị overlay giả, BankBot còn thực hiện được nhiều tác vụ khác như gửi và can thiệp tin nhắn SMS, thực hiện cuộc gọi, theo dõi thiết bị lây nhiễm và đánh cắp danh bạ. Google đã xóa ít nhất 4 phiên bản trước của trojan này nhưng nó vẫn tìm được cách chui vào Play Store.

Chiến dịch thứ 2 không chỉ phát tán BankBot mà còn cả Mazar và Red Alert, được mô tả chi tiết trên blog của ESET. https://www.welivesecurity.com/2017/11/15/multi-stage-malware-sneaks-google-play/

Theo phân tích của nhóm nghiên cứu các mối nguy hại trên di động tại Avast hợp tác với ESET và SfyLabs, biến thể mới nhất của BankBot ẩn trong ứng dụng Android trông có vẻ đáng tin.

Lần đầu được phát hiện vào 13/10, BankBot dùng kĩ thuật đặc biệt qua mặt kiểm tra tự động của Google, ví dụ như hoạt động sau 2 giờ từ khi nhận được quyền admin và phát hành ứng dụng dưới tên nhà phát triển khác.

Sau khi lừa nạn nhân tải về máy, nó sẽ kiểm tra các ứng dụng được cài trên thiết bị trong danh sách 160 ứng dụng ngân hàng. Nếu tìm được, nó sẽ tải và cài BankBot APK từ máy chủ C&C, lừa nạn nhân trao quyền admin bằng cách giả làm Play Store hoặc cập nhật hệ thống.

Khi đã chiếm quyền, nó sẽ hiển thị đè lên ứng dụng thật, từ đó đánh cắp thông tin tài khoản của người dùng. Vì nhiều ngân hàng dùng xác thực 2 yếu tố, BankBot cũng có khả năng can thiệp vào tin nhắn SMS.

Phiên bản BankBot mới nhất không dùng tính năng Accessibility Service vì Google đã chặn tính năng này cho hầu hết mọi ứng dụng. Các ứng dụng có BankBot cũng đã bị Google gỡ khỏi Store.

Vì BankBot cần tải payload từ ngoài nên hãy tới Settings > Security > tắt Allow Installation Of Apps Froms Sources Other Than The Play Store để chặn không cho APK của bên thứ 3 cài lên điện thoại.

Xem thêm: Trojan ngân hàng vượt qua tường chống malware của Google Play

Thứ Năm, 23/11/2017 12:56
31 👨 222
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng