Phát hiện ứng dụng trên Cửa hàng Google Play phân phối Trojan ngân hàng Xenomorph

Marcus1337

VIP Members
01/04/2021
62
76 bài viết
Phát hiện ứng dụng trên Cửa hàng Google Play phân phối Trojan ngân hàng Xenomorph
Google đã xóa hai ứng dụng độc hại loại Dropper mới được phát hiện trên cửa hàng Google Play dành cho Android, một trong số đó là ứng dụng phong cách sống bị phát hiện phân phối phần mềm độc hại Xenomorph.

malware.jpeg

Các nhà nghiên cứu Himanshu Sharma và Viral Gandhi của Zscaler ThreatLabz cho biết: “Xenomorph là một trojan đánh cắp thông tin đăng nhập từ các ứng dụng ngân hàng trên thiết bị của người dùng. Nó có khả năng chặn tin nhắn SMS và thông báo của người dùng, cho phép đánh cắp mật khẩu một lần và các yêu cầu xác thực đa yếu tố".

Công ty an ninh mạng cho biết họ cũng tìm thấy một ứng dụng theo dõi chi phí có hành vi tương tự, nhưng họ không thể trích xuất URL được sử dụng để tải phần mềm độc hại.

image.jpeg

Hai ứng dụng độc hại được phát hiện là:
  • Todo: Day manager (com.todo.daymanager) Todo: Ứng dụng quản lý công việc trong ngày (com.todo.daymanager)
  • 経費キーパー (com.setprice.expenses): Ứng dụng giúp dễ dàng theo dõi và quản lý chi phí
Cả hai ứng dụng đều hoạt động như dropper app, được thiết kế để “cài đặt” thêm một số loại phần mềm độc hại sau khi xâm nhập vào hệ thống. Có nghĩa là bản thân các ứng dụng đều vô hại tuy nhiên chúng được thiết kế để tải 1 phần mềm mã độc khác ở 1 địa chỉ cụ thể để cài đặt. Trong trường hợp của Todo, app mã độc được lưu trữ trên GitHub.

Xenomorph được ghi nhận lần đầu tiên bởi ThreatFnai vào đầu tháng 02/2022. Xenomorph đã lợi dụng quyền truy cập của Android để thực hiện các cuộc tấn công chồng lớp (overlay attacks), trong đó màn hình đăng nhập giả mạo được hiển thị trên các ứng dụng ngân hàng hợp pháp để lấy cắp thông tin đăng nhập của nạn nhân. Hơn nữa, phần mềm độc hại này sử dụng mô tả của kênh Telegram để giải mã và xây dựng miền lệnh và kiểm soát (C2) được sử dụng để nhận các lệnh bổ sung.

Trước đó Google đã xóa tài khoản nhà phát triển sau khi phát hiện ra bốn ứng dụng giả mạo trên Google Play đã được phát hiện chuyển hướng nạn nhân đến các trang web độc hại như một phần của chiến dịch đánh cắp thông tin và phần mềm quảng cáo.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
malware android xenomorph
Bên trên