BlackRock: Mã độc Android mới đánh cắp tài khoản mạng xã hội, thông tin tài chính của nạn nhân

Các chuyên gia bảo mật quốc tế đến từ tổ chức an minh mạng ThreatFabric mới đây đã phát hiện ra một biến thể phần mềm độc hại Android mới có tên BlackRock, được thiết kế để đánh cắp dữ liệu xác thực và thông tin thẻ tín dụng từ danh sách 337 ứng dụng Android, rất nhiều trong số này có mục đích phi tài chính, chẳng hạn như ứng dụng mạng xã hội.

Trên thực tế, dấu vết của phần mềm độc hại này được phát hiện từ cuối tháng 5 theo cách khá tình cờ, sau khi nhóm ThreatFabric tiến hành phân tích mã nguồn bị rò rỉ của phần mềm độc hại Xerxes, một chủng trojan LokiBot đang hoạt động khá mạnh mẽ thời gian qua.

Bên cạnh việc là phần mềm độc hại Android duy nhất dựa trên mã nguồn của Xerxes, BlackRock còn sở hữu một điểm đặc biệt nữa cần nhắc tới. Không giống như các trojan ngân hàng khác, BlackRock có thể cùng lúc nhắm vào nhiều ứng dụng Android phi tài chính khác nhau, cũng như tập trung chủ yếu vào các nền tảng xã hội, giao tiếp, kết nối và hẹn hò trực tuyến được sử dụng phổ biến trên các thiết bị Android hiện nay.

Phân loại ứng dụng có thể bị BlackRock tấn công
Phân loại ứng dụng có thể bị BlackRock tấn công

BlackRock có khả năng tự ngụy trang thành Google Update để yêu cầu các đặc quyền hệ thống khi cần thiết. Đồng thời mã độc cũng sẽ tự ẩn đi biểu tượng của chính mình khi được khởi chạy trên hệ thống, khiến nạn nhân gần như không thể phát hiện ra thiết bị của mình đã bị lây nhiễm mã độc. Nói cách khác, BlackRock có thể hoạt động với đầy đủ khả năng mà không cần phải tương tác thêm với nạn nhân.

Về phía những kẻ vận hành mã độc, chúng có thể ra lệnh cho phần mềm độc hại thực hiện một loạt các hành vi độc hại từ xa. Chẳng hạn như khởi chạy các cuộc tấn công overlay attack, và đưa ra vô số lệnh bao gồm gõ phím, spam danh sách liên lạc của nạn nhân bằng tin nhắn văn bản, đặt phần mềm độc hại làm trình quản lý SMS mặc định, đẩy thông báo hệ thống đến máy chủ C2, và đặc biệt là chặn không cho nạn nhân khởi chạy hoặc sử dụng phần mềm antivirus cũng như làm sạch hệ thống.

Để tránh bị phát hiện, hacker đã lược bỏ hoàn toàn các tính năng không cần thiết từ mã của Xerxes khỏi BlackRock. Đồng thời, chúng cũng bổ sung thêm những tính năng nâng cao khác để phục vụ mục đích đánh cắp thông tin đăng nhập và thông tin tài chính từ các thiết bị Android bị nhiễm hiệu quả hơn.

Phần mềm độc hại cũng lợi dụng các cấu hình công việc của Android để kiểm soát thiết bị bị xâm nhập mà không yêu cầu quyền quản trị. Thay vào đó, nó tự tạo hồ sơ được quản lý riêng với quyền quản trị viên.

Danh sách mục tiêu trộm cắp thông tin của BlackRock gồm 337 ứng dụng, trong đó có những nền tảng phổ biến như Microsoft Outlook, Gmail, các dịch vụ Google Play, Uber, Amazon, Netflix. Telegram, WhatsApp, Twitter, Skype, Instagram, Facebook, YouTube, VK, Reddit, TikTok, Tinder và Grindr. Các ví tiền điện tử như Coinbase, BitPay, Binance, Coinbase... và các ứng dụng ngân hàng quốc tế bao gồm Santander, Barclays, RBS, Lloyds, ING, và Wells Fargo.

Thứ Ba, 28/07/2020 23:08
31 👨 2.637
0 Bình luận
Sắp xếp theo