Phát hiện trojan ngân hàng mới trên Android Red Alert

Các nhà nghiên cứu bảo mật mạng vừa phát hiện ra một trojan ngân hàng mới trên Android có tên Red Alert 2.0 đã được phát triển vài tháng qua và chỉ vừa mới được tung ra.

Theo báo cáo, các nhà nghiên cứu tại SfyLabs lần đầu trông thấy quảng cáo về trojan này trên một diễn đàn hacking nói tiếng Nga vào đầu năm. Vào tuần trước, họ đã phát hiện ra những ứng dụng đầu tiên bị ảnh hưởng và đã lần dấu theo máy chủ C&C.

Red Alert vẫn chưa lên Play Store

Tất cả ứng dụng có nhiễm Red Alert đều nằm trên các cửa hàng ứng dụng Android của bên thứ ba. SfyLabs cho biết chưa có ứng dụng nào nhiễm mã độc này có mặt trên Google Play Store chính thức vào thời điểm này.

Red Alert là cái tên mới nhưng cũng có phương thức hoạt động như những trojan khác. Nó sẽ âm thầm chờ đợi cho tới khi người dùng mở ứng dụng ngân hàng hoặc mạng xã hội. Khi đó, trojan sẽ hiển thị dưới dạng HTML chèn lên ứng dụng gốc, cảnh báo người dùng rằng có lỗi và yêu cầu xác thực lại.

Bảng điều khiển Red Alert

Sau đó Red Alert sẽ thu thập thông tin đăng nhập của người dùng và gửi tới máy chủ C&C. Thông tin này có thể được dùng để đăng nhập tài khoản ngân hàng của nạn nhân, thực hiện giao dịch giả mạo hoặc đăng nhập vào mạng xã hội để đăng spam hay các nội dung khác.

Red Alert còn thu thập danh bạ trên thiết bị. Để vượt qua xác thực 2 yếu tố, nó cũng chiếm quyền chức năng SMS của điện thoại.

Theo changelog trên quảng cáo về Red Alert, tính năng mới nhất của nó là tự động chặn cuộc gọi tới từ các số có liên quan tới ngân hàng hay tổ chức tài chính.

Cho thuê Red Alert với giá $500

Cengiz Han Sahin, CEO và sáng lập SfyLabs cho biết tác giả của Red Alert cho thuê trojan này với giá chỉ $500. Quá trình phát triển cũng rất tích cực. “HTML Overlay được tạo mới gần như 2 ngày 1 lần”, Sahin cho hay. Tác của của Red Alert cũng làm việc với SOCKS và VNS để thêm khả năng kiểm soát từ xa trên thiết bị, cải tiến Red Alert với các đặc điểm của RAT.

Sahin nói rằng Red Alert thu hút sự chú ý của ông bởi nó là một trong số ít trojan ngân hàng được viết hoàn toàn từ đầu trong vài năm qua. Hầu hết các trojan gần đây như Exobot, BankBot hay AgressiveX AndroBot đều được viết dựa trên malware trước đó.

Red Alert chạy trên mọi bản Android tới 6.0

Sahin nói rằng mục tiêu của Red Alert là mọi phiên bản Android cho tới tận bản 6.0 (Marshmallow). Nó hỗ trợ hiển thị HTML Overlay cho hơn 60 ngân hàng và ứng dụng mạng xã hội.

Quảng cáo về Red Alert trên diễn đàn hacking

Trojan này không hướng tới một quốc gia cụ thể nào nhưng ban đầu sẽ nhắm tới các ngân hàng nổi tiếng trước. Nó chọn mục tiêu ngẫu nhiên là do cách cho thuê trojan, tác giả Red Alert tập trung cung cấp những tính năng hấp dẫn cho nhiều người mua tiềm năng.

Bài đăng trên blog của SfyLabs tại địa chỉ này https://clientsidedetection.com/new_android_trojan_targeting_over_60_banks_and_social_apps.html đưa ra danh sách các ứng dụng bị nhắm tới và thông tin IOC. Như thường lệ, người dùng có thể tránh malware bằng việc chỉ dùng ứng dụng trên Play Store, dù không hoàn hảo nhưng vẫn an toàn hơn.