Ứng dụng Android độc hại mới đánh cắp dữ liệu tài chính từ 378 ứng dụng ngân hàng và ví điện tử

1054

Theo nghiên cứu mới nhất, các nhà khai thác đằng sau phần mềm độc hại di động BlackRock đã xuất hiện trở lại với một trojan ngân hàng Android mới có tên là ERMAC nhắm mục tiêu vào Ba Lan và có nguồn gốc từ phần mềm độc hại khét tiếng Cerberus, theo nghiên cứu mới nhất.

“Trojan mới đã có các chiến dịch phân phối đang hoạt động và đang nhắm mục tiêu vào 378 ứng dụng ngân hàng và ví có lớp phủ”, CEO Cengiz Han Sahin của ThreatFabric cho biết trong một tuyên bố gửi qua email. Các chiến dịch đầu tiên liên quan đến ERMAC được cho là đã bắt đầu vào cuối tháng 8 dưới vỏ bọc của ứng dụng Google Chrome.

Kể từ đó, các cuộc tấn công đã mở rộng để bao gồm một loạt các ứng dụng như ngân hàng, trình phát đa phương tiện, dịch vụ giao hàng, ứng dụng chính phủ và các giải pháp chống vi-rút.

Gần như hoàn toàn dựa trên trojan ngân hàng khét tiếng Cerberus, phát hiện của công ty an ninh mạng Hà Lan đến từ các bài đăng trên diễn đàn do một diễn viên tên DukeEugene thực hiện vào tháng trước vào ngày 17 tháng 8, mời khách hàng tiềm năng “thuê một botnet android mới với chức năng rộng rãi cho một nhóm người hẹp. “với giá 3.000 đô la một tháng.

DukeEugene cũng được biết đến là tác nhân đằng sau chiến dịch BlackRock được đưa ra ánh sáng vào tháng 7 năm 2020. Với một loạt các khả năng đánh cắp dữ liệu, infostealer và keylogger bắt nguồn từ một chủng ngân hàng khác có tên là Xerxes – bản thân nó là một chủng của Trojan ngân hàng Android LokiBot – với mã nguồn của phần mềm độc hại được tác giả của nó công khai vào khoảng tháng 5 năm 2019.

Cerberus, vào tháng 9 năm 2020, đã phát hành mã nguồn của riêng mình dưới dạng trojan truy cập từ xa miễn phí (RAT) trên các diễn đàn hack ngầm sau một cuộc đấu giá thất bại nhằm tìm kiếm 100.000 đô la cho nhà phát triển.

ThreatFabric cũng nhấn mạnh việc ngừng cung cấp các mẫu BlackRock mới kể từ khi ERMAC xuất hiện, làm tăng khả năng “DukeEugene chuyển từ sử dụng BlackRock trong các hoạt động của mình sang ERMAC.” Bên cạnh việc chia sẻ những điểm tương đồng với Cerberus, chủng vi khuẩn mới được phát hiện còn đáng chú ý vì nó sử dụng các kỹ thuật obfuscation và sơ đồ mã hóa Blowfish để giao tiếp với máy chủ điều khiển và chỉ huy.

ERMAC, giống như tiền thân của nó và phần mềm độc hại ngân hàng khác, được thiết kế để lấy cắp thông tin liên hệ, tin nhắn văn bản, mở các ứng dụng tùy ý và kích hoạt các cuộc tấn công lớp phủ chống lại vô số ứng dụng tài chính để vuốt thông tin đăng nhập. Ngoài ra, nó đã phát triển các tính năng mới cho phép phần mềm độc hại xóa bộ nhớ cache của một ứng dụng cụ thể và đánh cắp tài khoản được lưu trữ trên thiết bị.

Các nhà nghiên cứu cho biết: “Câu chuyện về ERMAC cho thấy một lần nữa việc rò rỉ mã nguồn phần mềm độc hại có thể dẫn đến không chỉ làm chậm quá trình bốc hơi của họ phần mềm độc hại mà còn mang đến các mối đe dọa / tác nhân mới trong bối cảnh mối đe dọa”. “Mặc dù nó thiếu một số tính năng mạnh mẽ như RAT, nhưng nó vẫn là một mối đe dọa đối với người dùng ngân hàng di động và các tổ chức tài chính trên toàn thế giới.”

Hương – Theo TheHackerNews