Một phần mềm độc hại ngân hàng mới đe dọa người dùng điện thoại thông minh Android. Các nhà nghiên cứu của Cleafy thực sự đã phát hiện ra sự hiện diện của một loại vi-rút mới, có tên là DroidBot, vào cuối tháng 10 năm 2024. Theo cuộc điều tra do các chuyên gia từ công ty Milan chuyên chống gian lận trực tuyến thực hiện, DroidBot đã hoạt động từ tháng 6 năm 2024.
Phần mềm độc hại này được tin tặc Thổ Nhĩ Kỳ tiếp thị như một phần của dịch vụ Malware-as-a-Service (MaaS). Loại đề nghị này cho phép tội phạm mạng trả tiền để sử dụng phần mềm độc hại để đổi lấy quyền truy cập tạm thời hoặc có giới hạn. Trong trường hợp này, phần mềm độc hại có giá 3.000 đô la mỗi tháng. Ít nhất 17 băng nhóm đã liên kết với DroidBot để sử dụng nó trong các cuộc tấn công của họ.
Theo Cleafy, DroiBot được thiết kế để tấn công người dùng của “77 thực thể riêng biệt”, bao gồm các ngân hàng, tổ chức tài chính và sàn giao dịch tiền điện tử. Ví dụ bao gồm các sàn giao dịch như Binance, KuCoin, Kraken, OkCoin hoặc ví như Kraken. Các mục tiêu khác của virus bao gồm một số ngân hàng Pháp:
Trước mối lo ngại của nhiều người dùng về phần mềm độc hại này, các ngân hàng Pháp đã quyết định phản ứng. Do đó, FBF (Liên đoàn Ngân hàng Pháp) đã công bố thông cáo báo chí vào thứ bảy ngày 7 tháng 12. Tổ chức này khẳng định rằng "đây không phải là cuộc tấn công mạng nhằm vào các ngân hàng Pháp hoặc các ứng dụng của họ, mà là phần mềm độc hại được người dùng cài đặt trên điện thoại của họ mà không liên quan gì đến ngân hàng". FBF chỉ ra rằng bảo mật là "vấn đề lớn" đối với các ngân hàng và họ "đang phát triển các biện pháp cực kỳ hiệu quả để chống lại các phương pháp gian lận".
Để cướp tài khoản ngân hàng của mục tiêu, trước tiên DroidBot sẽ giả mạo là một trong những ứng dụng đã được cài đặt trên điện thoại thông minh của họ. Thông thường, DroidBot sẽ giả mạo Google Chrome hoặc Google Play Store để lừa người dùng. Đôi khi, vi-rút này xuất hiện dưới dạng một ứng dụng có tên là Android Security. Chiến thuật này được sử dụng để thuyết phục nạn nhân tải xuống phần mềm độc hại từ các trang web lừa đảo hoặc tệp APK.
Sau khi thực hiện xong, DroidBot sẽ làm mọi cách có thể để đánh cắp dữ liệu nhạy cảm của bạn. Ví dụ, virus sẽ ghi lại mọi từ được gõ trên bàn phím và chặn tin nhắn SMS để tìm mã đăng nhập. Quan trọng nhất là nó sẽ hiển thị một cửa sổ độc hại giả mạo trên đầu ứng dụng ngân hàng hoặc tài chính. Nói rộng hơn, DroiBot có thể cho phép tội phạm mạng xem mọi thứ trên màn hình của bạn. Tất cả những thủ thuật này đều cho phép bạn đánh cắp thông tin đăng nhập và mật khẩu của mình. Với dữ liệu này, bạn có thể dễ dàng xâm nhập vào tài khoản của mình để thực hiện chuyển tiền mà không hề hay biết.
Giống như nhiều loại virus Android khác, DroidBot khai thác các dịch vụ trợ năng của Android. Được thiết kế để giúp người khiếm thị sử dụng thiết bị của mình, các dịch vụ này bị nhiều ứng dụng độc hại xâm nhập. Nhờ vào quyền truy cập được nạn nhân cấp mà virus "cho phép điều khiển từ xa thiết bị bị nhiễm". Nhờ đó, tin tặc có thể mô phỏng "các tương tác của người dùng như nhấn nút, điền vào biểu mẫu và điều hướng ứng dụng, cho phép kẻ tấn công sử dụng thiết bị như thể họ đang có mặt trực tiếp".Các nhà phát triển DroidBot cung cấp cho khách hàng của họ một bảng điều khiển quản trị. Thông qua đó, tin tặc có thể tổ chức các cuộc tấn công và tùy chỉnh DroidBot để nhắm vào các ứng dụng cụ thể hoặc sử dụng các ngôn ngữ khác nhau tùy thuộc vào mục tiêu. Họ cũng cung cấp hỗ trợ Telegram và cập nhật thường xuyên. Cleafy chỉ ra "sự tinh vi và khả năng thích ứng của DroidBot."
Các nhà nghiên cứu cho biết loại vi-rút "vẫn đang trong quá trình phát triển tích cực". Trong tương lai gần, nhiều khả năng phần mềm độc hại này sẽ có thêm các tính năng mới hoặc có thể nhắm mục tiêu vào các ngân hàng khác. Hơn nữa, có dấu hiệu cho thấy các nhà phát triển có ý định nhắm tới các khu vực khác trên thế giới, bắt đầu từ Mỹ Latinh. Cleafy cho biết "vẫn đang tiếp tục nỗ lực để cải thiện hiệu quả của phần mềm độc hại và điều chỉnh nó cho phù hợp với các môi trường cụ thể". Chúng tôi vẫn chưa hết bất ngờ.
Để tránh rơi vào cái bẫy của DroidBot, chúng tôi khuyên bạn nên tránh cài đặt các ứng dụng bên ngoài Play Store bằng mọi giá. Theo tin tức mới nhất, virus vẫn chưa thể xâm nhập vào nền tảng Google.
Nguồn: Cleafy
Phần mềm độc hại này được tin tặc Thổ Nhĩ Kỳ tiếp thị như một phần của dịch vụ Malware-as-a-Service (MaaS). Loại đề nghị này cho phép tội phạm mạng trả tiền để sử dụng phần mềm độc hại để đổi lấy quyền truy cập tạm thời hoặc có giới hạn. Trong trường hợp này, phần mềm độc hại có giá 3.000 đô la mỗi tháng. Ít nhất 17 băng nhóm đã liên kết với DroidBot để sử dụng nó trong các cuộc tấn công của họ.
DroidBot nhắm mục tiêu vào 8 ngân hàng Pháp
Theo Cleafy, DroiBot được thiết kế để tấn công người dùng của “77 thực thể riêng biệt”, bao gồm các ngân hàng, tổ chức tài chính và sàn giao dịch tiền điện tử. Ví dụ bao gồm các sàn giao dịch như Binance, KuCoin, Kraken, OkCoin hoặc ví như Kraken. Các mục tiêu khác của virus bao gồm một số ngân hàng Pháp:
- Boursorama
- BNP Paribas
- Crédit Agricole
- Axa Banque
- Caisse d’Épargne
- Banque Populaire
- ING
- Société Générale
Trước mối lo ngại của nhiều người dùng về phần mềm độc hại này, các ngân hàng Pháp đã quyết định phản ứng. Do đó, FBF (Liên đoàn Ngân hàng Pháp) đã công bố thông cáo báo chí vào thứ bảy ngày 7 tháng 12. Tổ chức này khẳng định rằng "đây không phải là cuộc tấn công mạng nhằm vào các ngân hàng Pháp hoặc các ứng dụng của họ, mà là phần mềm độc hại được người dùng cài đặt trên điện thoại của họ mà không liên quan gì đến ngân hàng". FBF chỉ ra rằng bảo mật là "vấn đề lớn" đối với các ngân hàng và họ "đang phát triển các biện pháp cực kỳ hiệu quả để chống lại các phương pháp gian lận".
Cách thức hoạt động của DroidBot
Để cướp tài khoản ngân hàng của mục tiêu, trước tiên DroidBot sẽ giả mạo là một trong những ứng dụng đã được cài đặt trên điện thoại thông minh của họ. Thông thường, DroidBot sẽ giả mạo Google Chrome hoặc Google Play Store để lừa người dùng. Đôi khi, vi-rút này xuất hiện dưới dạng một ứng dụng có tên là Android Security. Chiến thuật này được sử dụng để thuyết phục nạn nhân tải xuống phần mềm độc hại từ các trang web lừa đảo hoặc tệp APK.
Sau khi thực hiện xong, DroidBot sẽ làm mọi cách có thể để đánh cắp dữ liệu nhạy cảm của bạn. Ví dụ, virus sẽ ghi lại mọi từ được gõ trên bàn phím và chặn tin nhắn SMS để tìm mã đăng nhập. Quan trọng nhất là nó sẽ hiển thị một cửa sổ độc hại giả mạo trên đầu ứng dụng ngân hàng hoặc tài chính. Nói rộng hơn, DroiBot có thể cho phép tội phạm mạng xem mọi thứ trên màn hình của bạn. Tất cả những thủ thuật này đều cho phép bạn đánh cắp thông tin đăng nhập và mật khẩu của mình. Với dữ liệu này, bạn có thể dễ dàng xâm nhập vào tài khoản của mình để thực hiện chuyển tiền mà không hề hay biết.
Giống như nhiều loại virus Android khác, DroidBot khai thác các dịch vụ trợ năng của Android. Được thiết kế để giúp người khiếm thị sử dụng thiết bị của mình, các dịch vụ này bị nhiều ứng dụng độc hại xâm nhập. Nhờ vào quyền truy cập được nạn nhân cấp mà virus "cho phép điều khiển từ xa thiết bị bị nhiễm". Nhờ đó, tin tặc có thể mô phỏng "các tương tác của người dùng như nhấn nút, điền vào biểu mẫu và điều hướng ứng dụng, cho phép kẻ tấn công sử dụng thiết bị như thể họ đang có mặt trực tiếp".Các nhà phát triển DroidBot cung cấp cho khách hàng của họ một bảng điều khiển quản trị. Thông qua đó, tin tặc có thể tổ chức các cuộc tấn công và tùy chỉnh DroidBot để nhắm vào các ứng dụng cụ thể hoặc sử dụng các ngôn ngữ khác nhau tùy thuộc vào mục tiêu. Họ cũng cung cấp hỗ trợ Telegram và cập nhật thường xuyên. Cleafy chỉ ra "sự tinh vi và khả năng thích ứng của DroidBot."
Một loại vi-rút đang tiến hóa
Các nhà nghiên cứu cho biết loại vi-rút "vẫn đang trong quá trình phát triển tích cực". Trong tương lai gần, nhiều khả năng phần mềm độc hại này sẽ có thêm các tính năng mới hoặc có thể nhắm mục tiêu vào các ngân hàng khác. Hơn nữa, có dấu hiệu cho thấy các nhà phát triển có ý định nhắm tới các khu vực khác trên thế giới, bắt đầu từ Mỹ Latinh. Cleafy cho biết "vẫn đang tiếp tục nỗ lực để cải thiện hiệu quả của phần mềm độc hại và điều chỉnh nó cho phù hợp với các môi trường cụ thể". Chúng tôi vẫn chưa hết bất ngờ.
Để tránh rơi vào cái bẫy của DroidBot, chúng tôi khuyên bạn nên tránh cài đặt các ứng dụng bên ngoài Play Store bằng mọi giá. Theo tin tức mới nhất, virus vẫn chưa thể xâm nhập vào nền tảng Google.
Nguồn: Cleafy
