Hai nhà nghiên cứu bảo mật Himanshu Sharma và Viral Gandhi vừa phát đi cảnh báo về việc Xenomorph là một trojan đánh cắp thông tin đăng nhập tài khoản ngân hàng trên thiết bị của người dùng. Phần mềm độc hại có khả năng chặn tin nhắn SMS (OTP) và thông báo.
Công ty an ninh mạng Zscaler ThreatLabz cho biết, họ cũng tìm thấy các ứng dụng theo dõi có hành vi tương tự. Trước mắt, có hai ứng dụng đánh cắp tiền ngân hàng mà người dùng nên xóa ngay lập tức nếu phát hiện trên smartphone, gồm:
- Todo: Day manager (com.todo.daymanager)
- 経費キーパー (com.setprice.expenses)
Các ứng dụng dạng này còn được gọi là "dropper", được thiết kế để cài đặt thêm một số loại phần mềm độc hại sau khi xâm nhập vào hệ thống. Hiện nay, dropper đã và đang trở thành một kỹ thuật được sử dụng rộng rãi để phát tán phần mềm độc hại, vượt qua các giải pháp bảo mật của Google.
Xenomorph lần đầu tiên được ThreatFabric ghi nhận vào đầu tháng 2/2022, lạm dụng quyền truy cập của Android để thực hiện các cuộc tấn công lớp phủ, đơn cử như giả mạo màn hình đăng nhập ngân hàng giả mạo để đánh cắp tài khoản ngân hàng của nạn nhân.
Trước đó không lâu, các nhà nghiên cứu cũng phát hiện 5 ứng dụng độc hại dạng dropper trên Google Play (được tải xuống hơn 130.000 lần), được thiết kế để thực hiện các hành vi gian lận, đánh cắp tài khoản ngân hàng, ví điện tử,…
Sau khi người dùng cài đặt nhầm, ứng dụng sẽ bắt đầu phát tán phần mềm độc hại SharkBot và Vultur. 5 ứng dụng độc hại nhắm mục tiêu vào 231 ứng dụng ngân hàng và tiền điện tử thuộc các tổ chức tài chính ở Ý, Anh, Đức, Tây Ban Nha, Ba Lan, Áo, Mỹ, Úc, Pháp và Hà Lan.
Các biến thể mới của phần mềm độc hại còn được bổ sung khả năng ghi lại các thao tác của người dùng, đơn cử như nhấp chuột, cử chỉ,… nhằm vượt qua hạn chế không cho chụp ảnh màn hình bên trong các ứng dụng ngân hàng.
CÙNG CHUYÊN MỤC
