Marcus1337
VIP Members
-
01/04/2021
-
62
-
76 bài viết
Phát hiện ứng dụng trên Cửa hàng Google Play phân phối Trojan ngân hàng Xenomorph
Google đã xóa hai ứng dụng độc hại loại Dropper mới được phát hiện trên cửa hàng Google Play dành cho Android, một trong số đó là ứng dụng phong cách sống bị phát hiện phân phối phần mềm độc hại Xenomorph.
Các nhà nghiên cứu Himanshu Sharma và Viral Gandhi của Zscaler ThreatLabz cho biết: “Xenomorph là một trojan đánh cắp thông tin đăng nhập từ các ứng dụng ngân hàng trên thiết bị của người dùng. Nó có khả năng chặn tin nhắn SMS và thông báo của người dùng, cho phép đánh cắp mật khẩu một lần và các yêu cầu xác thực đa yếu tố".
Công ty an ninh mạng cho biết họ cũng tìm thấy một ứng dụng theo dõi chi phí có hành vi tương tự, nhưng họ không thể trích xuất URL được sử dụng để tải phần mềm độc hại.
Hai ứng dụng độc hại được phát hiện là:
Xenomorph được ghi nhận lần đầu tiên bởi ThreatFnai vào đầu tháng 02/2022. Xenomorph đã lợi dụng quyền truy cập của Android để thực hiện các cuộc tấn công chồng lớp (overlay attacks), trong đó màn hình đăng nhập giả mạo được hiển thị trên các ứng dụng ngân hàng hợp pháp để lấy cắp thông tin đăng nhập của nạn nhân. Hơn nữa, phần mềm độc hại này sử dụng mô tả của kênh Telegram để giải mã và xây dựng miền lệnh và kiểm soát (C2) được sử dụng để nhận các lệnh bổ sung.
Trước đó Google đã xóa tài khoản nhà phát triển sau khi phát hiện ra bốn ứng dụng giả mạo trên Google Play đã được phát hiện chuyển hướng nạn nhân đến các trang web độc hại như một phần của chiến dịch đánh cắp thông tin và phần mềm quảng cáo.
Các nhà nghiên cứu Himanshu Sharma và Viral Gandhi của Zscaler ThreatLabz cho biết: “Xenomorph là một trojan đánh cắp thông tin đăng nhập từ các ứng dụng ngân hàng trên thiết bị của người dùng. Nó có khả năng chặn tin nhắn SMS và thông báo của người dùng, cho phép đánh cắp mật khẩu một lần và các yêu cầu xác thực đa yếu tố".
Công ty an ninh mạng cho biết họ cũng tìm thấy một ứng dụng theo dõi chi phí có hành vi tương tự, nhưng họ không thể trích xuất URL được sử dụng để tải phần mềm độc hại.
Hai ứng dụng độc hại được phát hiện là:
- Todo: Day manager (com.todo.daymanager) Todo: Ứng dụng quản lý công việc trong ngày (com.todo.daymanager)
- 経費キーパー (com.setprice.expenses): Ứng dụng giúp dễ dàng theo dõi và quản lý chi phí
Xenomorph được ghi nhận lần đầu tiên bởi ThreatFnai vào đầu tháng 02/2022. Xenomorph đã lợi dụng quyền truy cập của Android để thực hiện các cuộc tấn công chồng lớp (overlay attacks), trong đó màn hình đăng nhập giả mạo được hiển thị trên các ứng dụng ngân hàng hợp pháp để lấy cắp thông tin đăng nhập của nạn nhân. Hơn nữa, phần mềm độc hại này sử dụng mô tả của kênh Telegram để giải mã và xây dựng miền lệnh và kiểm soát (C2) được sử dụng để nhận các lệnh bổ sung.
Trước đó Google đã xóa tài khoản nhà phát triển sau khi phát hiện ra bốn ứng dụng giả mạo trên Google Play đã được phát hiện chuyển hướng nạn nhân đến các trang web độc hại như một phần của chiến dịch đánh cắp thông tin và phần mềm quảng cáo.
Theo The Hacker News