Cybereason, công ty bảo mật phát hiện ra loại malware trên nền tảng Android và đặt tên là EventBot. Theo THN, EventBot có khả năng nhắm tới 200 ứng dụng tài chính khác nhau gồm các phần mềm ngân hàng, dịch vụ chuyển tiền, ví điện tử được mã hóa như Paypal Business, Revolut, Barclays, CapitalOne, HSBC, Santander, TransferWise, Coinbase.
Đại diện nhóm nghiên cứu cho biết ứng dụng độc hại này đặc biệt thích thú với các loại phần mềm trên bởi chúng còn khá mới mẻ, có phần thô sơ. “Loại malware mới này thực sự có tiềm năng để trở thành một phiên bản phần mềm độc hại nguy hiểm hơn trên di động vì được cải tiến liên tục, lạm dụng các tính năng trọng yếu trên hệ điều hành và nhắm vào ứng dụng tài chính”, nhóm nghiên cứu tại Cybereason cho hay.
Chiến dịch tấn công sử dụng EventBot lần đầu được phát hiện vào tháng 3.2020, ngụy trang dưới danh nghĩa các phần mềm hợp pháp (như Adobe Flash, Microsoft Word), có mặt trên các gian ứng dụng cho Android giả mạo (nơi thường chứa tập tin APK dành cho việc cài đặt ứng dụng trên nền tảng này) hoặc các website không minh bạch. Sau khi cài đặt, chương trình sẽ yêu cầu thêm các quyền mở rộng trên thiết bị.
Các quyền yêu cầu gồm truy cập vào phần Cài đặt, khả năng đọc nội dung trên thẻ nhớ ngoài, gửi và nhận tin nhắn SMS, chạy nền, tự khởi chạy sau khi hệ thống được khởi động lại. Nếu người dùng cấp các phân quyền theo yêu cầu này, EventBot bắt đầu ghi lại các tổ hợp phím do người dùng thao tác trên màn hình, thu thập thông báo khi có ứng dụng khác được cài đặt và xem nội dung từ chương trình đang mở trên màn hình.
EventBot còn có thể khai khác dịch vụ trợ năng của Android để thu thập mã khóa màn hình rồi chuyển toàn bộ dữ liệu thu thập được dưới dạng đã mã hóa tới máy chủ do kẻ tấn công kiểm soát.
Khả năng phân tích tin nhắn SMS (tin nhắn văn bản) mang tới cho ứng dụng này một công cụ hữu ích để vượt qua các bước bảo mật hai lớp sử dụng SMS, giúp tin tặc truy cập vào ví tiền điện tử và đánh cắp tài khoản trong ngân hàng của nạn nhân một cách dễ dàng.
Những ứng dụng khả nghi như EventBot có thể không tồn tại trên Play Store chính chủ của Google, chính vì vậy các nhà nghiên cứu một lần nữa khuyến cáo người dùng chỉ nên cài đặt chương trình cho điện thoại từ các kho phần mềm chính thức, tránh tải và cài từ các nguồn không tin cậy khác.
Đây không phải lần đầu tiên xuất hiện malware trên di động nhắm vào dịch vụ tài chính. Tháng trước, nhóm nghiên cứu X-Force của IBM đã công bố về chiến dịch có tên TrickMo do tin tặc thực hiện nhắm vào người dùng tại Đức, sử dụng phần mềm độc hại tận dụng tính năng Trợ năng trên điện thoại để chặn và đọc mật khẩu dùng một lần (OTP), mTAN và mã xác thực pushTAN (các dịch vụ liên quan tới ngân hàng tại Đức).
Anh Quân