Vài tháng cuối năm 2022, một cuộc tấn công phần mềm độc hại mới vào điện thoại thông minh Android: "Bố già. Được Group-IB xác định, loại vi-rút này được lập trình để đánh cắp thông tin đăng nhập của hơn 400 ứng dụng ngân hàng và tài chính, bao gồm 20 ngân hàng Pháp. Để đạt được mục tiêu, phần mềm độc hại đã mạo danh Play Protect. Sau đó, nó hiển thị các trang đăng nhập giả được chồng lên màn hình. Chính thông qua các trang giả này, vi-rút đã trích xuất dữ liệu cá nhân của nạn nhân. Đây là một chiến thuật rất phổ biến trong số các phần mềm độc hại được thiết kế để thực hiện các cuộc tấn công lừa đảo.
Chưa đầy ba năm sau, Bố già đã quay trở lại dưới dạng một biến thể mới. Được zLabs, nhóm nghiên cứu Zimperium phát hiện, "sự tiến hóa tinh vi" này được phân biệt bằng một phương thức hoạt động độc đáo và phức tạp hơn. Như các nhà nghiên cứu giải thích, Bố già mới dựa vào "hình thức tấn công lừa đảo và hiệu quả hơn".
Sau đó, phần mềm độc hại sẽ đặt các ứng dụng đó vào khuôn khổ ảo hóa của nó. Đây là một công cụ cho phép bạntạo một môi trường biệt lập trên điện thoại thông minh. Tính năng này thực sự sẽ khởi chạy một bản sao của hệ điều hành có khả năng chạy các ứng dụng. Môi trường giả sau đó sẽ tải xuống và chạy "bản sao của ứng dụng ngân hàng thực". Trên thực tế, "khi người dùng khởi chạy ứng dụng của họ, họ vô tình được chuyển hướng đến phiên bản ảo hóa này, nơi mọi hành động, mục nhập và tương tác đều được theo dõi và kiểm soát từ xa." Vi-rút không chỉ "mô phỏng một lần đăng nhập giao diện, nó tạo ra một môi trường ảo bị cô lập." Thay vì "chỉ mô phỏng màn hình đăng nhập, phần mềm độc hại cài đặt một ứng dụng máy chủ có bẫy được trang bị hệ thống ảo hóa," báo cáo của các nhà nghiên cứu nhấn mạnh.
Thông qua môi trường ảo này, dưới sự kiểm soát của tin tặc, vi-rút có được dữ liệu của nạn nhân. Phần mềm độc hại sẽ "ghi lại thông tin đăng nhập, mật khẩu, mã PIN và mẫu khóa điện thoại theo thời gian thực." Tất nhiên, toàn bộ quá trình này là vô hình. Hệ điều hành không biết bất cứ điều gì, và người dùng cũng vậy. Chiến lược này cho phép tội phạm mạng hoạt động mà không cần cảnh báo các cơ chế bảo mật của Android và "chặn thông tin xác thực và dữ liệu nhạy cảm theo thời gian thực.".
Sau khi chiếm được dữ liệu, vi-rút sẽ sử dụng dữ liệu đó để xâm nhập vào ứng dụng ngân hàng thực. Trong khi phần mềm độc hại xâm nhập vào ứng dụng để thực hiện các giao dịch chuyển tiền gian lận, người dùng sẽ thấy màn hình đen với thông báo như "đang cập nhật". Kỹ thuật ảo hóa này "làm xói mòn lòng tin cơ bản giữa người dùng và các ứng dụng di động của họ," theo các chuyên gia phát hiện ra phần mềm độc hại.
Godfather được thiết kế để lừa người dùng của 100 ứng dụng tiền điện tử khác nhau. Các sàn giao dịch và ví tiền điện tử nằm trong tầm ngắm của tội phạm mạng. Mặc dù loại vi-rút này có thể tấn công các ứng dụng trên toàn thế giới, nhưng hiện tại nó tập trung vào 12 ứng dụng ngân hàng phổ biến ở Thổ Nhĩ Kỳ. Dự kiến sẽ thấy nhiều tổ chức tài chính và ngân hàng hơn trong tầm ngắm của Godfather trong tương lai gần.
zLabs khuyên bạn không nên tải xuống các ứng dụng Android từ bên ngoài Cửa hàng Play, bật Google Play Protect trên điện thoại của bạn và theo dõi các quyền mà các ứng dụng Android yêu cầu. Các ứng dụng độc hại thường yêu cầu một loạt quyền mà không có lý do.
Nguồn: Zimperium
Chưa đầy ba năm sau, Bố già đã quay trở lại dưới dạng một biến thể mới. Được zLabs, nhóm nghiên cứu Zimperium phát hiện, "sự tiến hóa tinh vi" này được phân biệt bằng một phương thức hoạt động độc đáo và phức tạp hơn. Như các nhà nghiên cứu giải thích, Bố già mới dựa vào "hình thức tấn công lừa đảo và hiệu quả hơn".
Godfather đánh cắp dữ liệu của bạn như thế nào?
Để phát tán vi-rút, tin tặc sẽ đưa phần mềm độc hại vào mã của tệp APK của ứng dụng. Sau khi xâm nhập được vào điện thoại thông minh của nạn nhân, Godfather sẽ liệt kê tất cả các ứng dụng đã cài đặt. Nó sẽ đặc biệt tập trung vào các ứng dụng liên quan đến dịch vụ ngân hàng hoặc tài chính.Sau đó, phần mềm độc hại sẽ đặt các ứng dụng đó vào khuôn khổ ảo hóa của nó. Đây là một công cụ cho phép bạntạo một môi trường biệt lập trên điện thoại thông minh. Tính năng này thực sự sẽ khởi chạy một bản sao của hệ điều hành có khả năng chạy các ứng dụng. Môi trường giả sau đó sẽ tải xuống và chạy "bản sao của ứng dụng ngân hàng thực". Trên thực tế, "khi người dùng khởi chạy ứng dụng của họ, họ vô tình được chuyển hướng đến phiên bản ảo hóa này, nơi mọi hành động, mục nhập và tương tác đều được theo dõi và kiểm soát từ xa." Vi-rút không chỉ "mô phỏng một lần đăng nhập giao diện, nó tạo ra một môi trường ảo bị cô lập." Thay vì "chỉ mô phỏng màn hình đăng nhập, phần mềm độc hại cài đặt một ứng dụng máy chủ có bẫy được trang bị hệ thống ảo hóa," báo cáo của các nhà nghiên cứu nhấn mạnh.
Thông qua môi trường ảo này, dưới sự kiểm soát của tin tặc, vi-rút có được dữ liệu của nạn nhân. Phần mềm độc hại sẽ "ghi lại thông tin đăng nhập, mật khẩu, mã PIN và mẫu khóa điện thoại theo thời gian thực." Tất nhiên, toàn bộ quá trình này là vô hình. Hệ điều hành không biết bất cứ điều gì, và người dùng cũng vậy. Chiến lược này cho phép tội phạm mạng hoạt động mà không cần cảnh báo các cơ chế bảo mật của Android và "chặn thông tin xác thực và dữ liệu nhạy cảm theo thời gian thực.".
Sau khi chiếm được dữ liệu, vi-rút sẽ sử dụng dữ liệu đó để xâm nhập vào ứng dụng ngân hàng thực. Trong khi phần mềm độc hại xâm nhập vào ứng dụng để thực hiện các giao dịch chuyển tiền gian lận, người dùng sẽ thấy màn hình đen với thông báo như "đang cập nhật". Kỹ thuật ảo hóa này "làm xói mòn lòng tin cơ bản giữa người dùng và các ứng dụng di động của họ," theo các chuyên gia phát hiện ra phần mềm độc hại.
500 ứng dụng Android bị phần mềm độc hại nhắm mục tiêu
Theo các cuộc điều tra do zLabs tiến hành, Godfather được thiết kế để hack 500 ứng dụng Android khác nhau, chủ yếu là các ứng dụng ngân hàng. Các dịch vụ thanh toán, ứng dụng nhắn tin và nền tảng thương mại điện tử cũng nằm trong số các mục tiêu ưa thích của phần mềm độc hại. Chiến dịch này mở rộng "trên khắp châu Âu, với các ngân hàng lớn ở Đức, Tây Ban Nha, Pháp và Ý" trong số các mục tiêu.Godfather được thiết kế để lừa người dùng của 100 ứng dụng tiền điện tử khác nhau. Các sàn giao dịch và ví tiền điện tử nằm trong tầm ngắm của tội phạm mạng. Mặc dù loại vi-rút này có thể tấn công các ứng dụng trên toàn thế giới, nhưng hiện tại nó tập trung vào 12 ứng dụng ngân hàng phổ biến ở Thổ Nhĩ Kỳ. Dự kiến sẽ thấy nhiều tổ chức tài chính và ngân hàng hơn trong tầm ngắm của Godfather trong tương lai gần.
zLabs khuyên bạn không nên tải xuống các ứng dụng Android từ bên ngoài Cửa hàng Play, bật Google Play Protect trên điện thoại của bạn và theo dõi các quyền mà các ứng dụng Android yêu cầu. Các ứng dụng độc hại thường yêu cầu một loạt quyền mà không có lý do.
Nguồn: Zimperium
