Cảnh báo ứng dụng Google Play đánh cắp thông tin đăng nhập tài khoản ngân hàng

Một ứng dụng Google Play được tải xuống 300.000 lần đã đánh cắp thông tin đăng nhập tài khoản ngân hàng

Các nhà nghiên cứu cho biết họ đã phát hiện ra một loạt ứng dụng được tải xuống từ Google Play hơn 300.000 lần trước khi các ứng dụng này được tiết lộ là trojan ngân hàng và lén lút lấy mật khẩu người dùng kèm mã xác thực hai yếu tố, ghi nhật ký tổ hợp phím và chụp ảnh màn hình. 

Các ứng dụng này thường giả dạng như ứng dụng máy quét QR, máy quét PDF và ví tiền điện tử — (bốn loại phần mềm độc hại Android). Tác giả ứng dụng đã sử dụng một số thủ thuật để lách qua các hạn chế của Google kiềm. Những hạn chế đó bao gồm việc hạn chế sử dụng các dịch vụ trợ năng cho người dùng khiếm thị để ngăn việc cài đặt ứng dụng tự động mà không có sự đồng ý của người dùng.

Dấu vết

Việc phân phối app trên Google Play này rất khó phát hiện từ góc độ tự động hóa (hộp cát) và máy học vì các ứng dụng dropper đều có dấu vết nguy hiểm rất nhỏ”, các nhà nghiên cứu từ công ty bảo mật di động ThreatFnai viết trong một bài đăng. “Dấu chân nhỏ này là hậu quả (trực tiếp) của các hạn chế quyền truy cập do Google Play thực thi.”

Thay vào đó, ban đầu, tác giả ứng dụng thường phân phối một ứng dụng bình thường, an toàn. Sau khi ứng dụng được cài đặt, người dùng nhận được thông báo hướng dẫn họ tải xuống các bản cập nhật đã cài đặt các tính năng bổ sung.

Các ứng dụng thường yêu cầu tải xuống các bản cập nhật từ các nguồn của bên thứ ba, nhưng sau đó, nhiều người dùng đã tin tưởng vào các hướng dẫn này. Trong nhiều trường hợp, các tác giả các phần mềm độc hại chỉ cài đặt các bản cập nhật độc hại theo cách thủ công.

Họ phần mềm độc hại lớn nhất được gọi là Anatsa. “Trojan ngân hàng Android khá tiên tiến” này cung cấp nhiều khả năng, bao gồm cả hệ thống truy cập từ xa và chuyển tiền tự động, tự động làm trống tài khoản của nạn nhân và gửi nội dung đến các tài khoản thuộc về các tác giả của phần mềm độc hại.

Quá trình lây nhiễm Anatsa trông như thế này: khi bắt đầu cài đặt từ Google Play, người dùng buộc phải cập nhật ứng dụng để tiếp tục sử dụng ứng dụng. Trong thời điểm này, [the] Anatsa payload được tải xuống từ (các) máy chủ C2 và được cài đặt trên thiết bị của nạn nhân mà không gặp phải bất kỳ nghi ngờ nào.

Những người đứng sau ứng dụng này đã “phù phép” để làm cho ứng dụng của mình trông hợp pháp và hữu ích. Chẳng hạn, có một số lượng lớn các đánh giá tích cực (good reviews) cho các ứng dụng + Số lượng cài đặt và sự hiện diện của các bài đánh giá có thể thuyết phục người dùng Android cài đặt ứng dụng mà không chút nghi ngờ. Hơn nữa, những ứng dụng này đáp ứng hoàn hảo các chức năng được mô tả, sau khi cài đặt, app hoạt động bình thường và tiếp tục thuyết phục [nạn nhân] về tính hợp pháp của sản phẩm cho đến khi nạn nhân không mảy may nghi ngờ, lúc đó “sự độc hại” mới xuất hiện.

Ba họ phần mềm độc hại khác được các nhà nghiên cứu tìm thấy bao gồm Alien, Hydra và Ermac.

Các nhà nghiên cứu đã liệt kê 12 ứng dụng Android đã tham gia vào vụ gian lận. Các ứng dụng là:

APP NAME PACKAGE NAME
Two Factor Authenticator com.flowdivison
Protection Guard com.protectionguard.app
QR CreatorScanner com.ready.qrscanner.mix
Master Scanner Live com.multifuction.combine.qr
QR Scanner 2021 com.qr.code.generate
QR Scanner com.qr.barqr.scangen
PDF Document Scanner – Scan to PDF com.xaviermuches.docscannerpro2
PDF Document Scanner com.docscanverifier.mobile
PDF Document Scanner Free com.doscanner.mobile
CryptoTracker cryptolistapp.app.com.cryptotracker
Gym and Fitness Trainer com.gym.trainer.jeux
Gym and Fitness Trainer com.gym.trainer.jeux

Đặt Câu hỏi hoặc để lại Bình luận - Yêu cầu của bạn

Share via
Copy link