Các nhà nghiên cứu an ninh mạng đã hé lộ về hai loại trojan Android khác nhau là BankBot-YNRK và DeliveryRAT, có khả năng thu thập dữ liệu nhạy cảm từ các thiết bị bị xâm nhập.
BankBot-YNRK: Trojan ngân hàng tinh vi
Theo CYFIRMA, sau khi phân tích ba mẫu BankBot-YNRK khác nhau, phần mềm độc hại này tích hợp các tính năng để tránh bị phân tích. Đầu tiên, nó kiểm tra xem có đang chạy trong môi trường ảo hóa hoặc giả lập hay không, sau đó trích xuất chi tiết thiết bị như nhà sản xuất và tên model để xác định xem nó đang được thực thi trên một thiết bị thực hay không.
BankBot-YNRK cũng kiểm tra xem thiết bị có phải do Oppo sản xuất hay đang chạy ColorOS, một phiên bản hệ điều hành Android được sử dụng trên các thiết bị của nhà sản xuất thiết bị gốc (OEM) Trung Quốc.
“Phần mềm độc hại này cũng bao gồm logic để xác định các thiết bị cụ thể,” CYFIRMA cho biết. “Nó xác minh xem thiết bị có phải là Google Pixel hay Samsung hay không và kiểm tra xem model của nó có nằm trong danh sách các model được nhận dạng hoặc hỗ trợ đã được xác định trước hay không. Điều này cho phép phần mềm độc hại chỉ áp dụng các chức năng hoặc tối ưu hóa dành riêng cho thiết bị trên các thiết bị mục tiêu, đồng thời tránh thực thi trên các model không được nhận dạng.”
Tên các gói APK phân phối phần mềm độc hại được liệt kê dưới đây. Cả ba ứng dụng đều có tên "IdentitasKependudukanDigital.apk", dường như là một nỗ lực để mạo danh một ứng dụng chính phủ Indonesia hợp pháp có tên "Identitas Kependudukan Digital."
- com.westpacb4a.payqingynrk1b4a
- com.westpacf78.payqingynrk1f78
- com.westpac91a.payqingynrk191a
Sau khi được cài đặt, các ứng dụng độc hại được thiết kế để thu thập thông tin thiết bị và đặt âm lượng của các luồng âm thanh khác nhau, chẳng hạn như nhạc, nhạc chuông và thông báo, về mức 0 nhằm ngăn nạn nhân bị ảnh hưởng nhận được cảnh báo về cuộc gọi đến, tin nhắn và các thông báo trong ứng dụng khác.
Nó cũng thiết lập liên lạc với một máy chủ từ xa ("ping.ynrkone[.]top"), và khi nhận được lệnh "OPEN_ACCESSIBILITY", nó sẽ thúc giục người dùng bật các accessibility services để thực hiện các mục tiêu của mình, bao gồm giành được các đặc quyền nâng cao và thực hiện các hành động độc hại.
Tuy nhiên, phần mềm độc hại này chỉ có khả năng nhắm mục tiêu vào các thiết bị Android chạy phiên bản 13 trở xuống, vì Android 14, ra mắt vào cuối năm 2023, đã giới thiệu một tính năng bảo mật mới ngăn chặn việc sử dụng các accessibility services để tự động yêu cầu hoặc cấp thêm quyền cho ứng dụng.
“Cho đến Android 13, các ứng dụng có thể bỏ qua các yêu cầu cấp quyền thông qua các tính năng accessibility; tuy nhiên, với Android 14, hành vi này không còn khả thi nữa và người dùng phải cấp quyền trực tiếp thông qua giao diện hệ thống,” CYFIRMA cho biết.
BankBot-YNRK tận dụng dịch vụ JobScheduler của Android để thiết lập khả năng duy trì trên thiết bị và đảm bảo nó được khởi chạy sau khi khởi động lại. Nó cũng hỗ trợ một loạt các lệnh để giành quyền quản trị thiết bị, quản lý ứng dụng, tương tác với thiết bị, chuyển hướng cuộc gọi đến bằng cách sử dụng MMI codes, chụp ảnh, thực hiện các thao tác tệp và thu thập danh bạ, tin nhắn SMS, vị trí, danh sách các ứng dụng đã cài đặt và nội dung clipboard.
Các tính năng khác của BankBot-YNRK:
- Mạo danh Google News bằng cách thay thế tên và biểu tượng của ứng dụng theo lập trình, cũng như khởi chạy "news.google[.]com" thông qua một WebView.
- Chụp nội dung màn hình để tái tạo một "skeleton UI" của các màn hình ứng dụng như ứng dụng ngân hàng để tạo điều kiện đánh cắp thông tin đăng nhập.
- Lạm dụng các accessibility services để mở các ứng dụng ví tiền điện tử từ một danh sách xác định trước và tự động hóa các hành động UI để thu thập dữ liệu nhạy cảm và khởi tạo các giao dịch trái phép.
- Truy xuất danh sách 62 ứng dụng tài chính để nhắm mục tiêu.
- Hiển thị một thông báo overlay tuyên bố thông tin cá nhân của họ đang được xác minh, trong khi các hành động độc hại được thực hiện, bao gồm tự yêu cầu các quyền bổ sung và tự thêm mình làm ứng dụng quản trị thiết bị.
“BankBot-YNRK thể hiện một bộ tính năng toàn diện nhằm duy trì quyền truy cập lâu dài, đánh cắp dữ liệu tài chính và thực hiện các giao dịch gian lận trên các thiết bị Android bị xâm nhập,” CYFIRMA cho biết.
DeliveryRAT: Phần mềm độc hại dưới vỏ bọc dịch vụ
Việc công bố này diễn ra khi F6 tiết lộ rằng các tác nhân đe dọa đang phân phối một phiên bản DeliveryRAT được cập nhật nhắm mục tiêu vào các chủ thiết bị Android người Nga dưới vỏ bọc dịch vụ giao đồ ăn, thị trường, dịch vụ ngân hàng, cũng như các ứng dụng theo dõi bưu kiện. Mối đe dọa di động này được đánh giá là đã hoạt động từ giữa năm 2024.
Theo công ty an ninh mạng của Nga, phần mềm độc hại này được quảng cáo theo mô hình malware-as-a-service (MaaS) thông qua một bot Telegram có tên Bonvi Team, cho phép người dùng truy cập tệp APK hoặc các liên kết đến các trang lừa đảo phân phối phần mềm độc hại.
Nạn nhân sau đó được tiếp cận trên các ứng dụng nhắn tin như Telegram, nơi họ được yêu cầu tải xuống ứng dụng độc hại như một phần của việc theo dõi đơn hàng từ các thị trường giả mạo hoặc cho một cơ hội việc làm từ xa. Bất kể phương pháp nào được sử dụng, ứng dụng đều yêu cầu quyền truy cập vào thông báo và cài đặt tối ưu hóa pin để có thể thu thập dữ liệu nhạy cảm và chạy ẩn trong nền mà không bị chấm dứt.
Hơn nữa, các ứng dụng lừa đảo này còn có khả năng truy cập tin nhắn SMS và nhật ký cuộc gọi, đồng thời ẩn biểu tượng của chúng khỏi trình khởi chạy màn hình chính, gây khó khăn cho người dùng ít hiểu biết về công nghệ hơn trong việc xóa chúng khỏi thiết bị.
Một số phiên bản của DeliveryRAT cũng được trang bị để thực hiện các cuộc tấn công distributed denial-of-service (DDoS) bằng cách gửi các yêu cầu đồng thời đến liên kết URL được truyền từ máy chủ bên ngoài và khởi chạy các hoạt động chụp ảnh bằng cách gửi các yêu cầu đồng thời đến liên kết URL được truyền hoặc bằng cách lừa người dùng quét một QR code.
Lạm dụng NFC để đánh cắp dữ liệu thanh toán
Việc phát hiện ra hai họ phần mềm độc hại Android này trùng hợp với một báo cáo từ Zimperium, vốn đã phát hiện hơn 760 ứng dụng Android kể từ tháng 4 năm 2024 đã lạm dụng near-field communication (NFC) để thu thập dữ liệu thanh toán bất hợp pháp và gửi đến kẻ tấn công từ xa.
Các ứng dụng giả mạo này, mạo danh các ứng dụng tài chính, nhắc nhở người dùng đặt chúng làm phương thức thanh toán mặc định của họ, đồng thời lợi dụng host-based card emulation (HCE) của Android để đánh cắp dữ liệu thẻ tín dụng và thanh toán không tiếp xúc.
Thông tin này được chuyển tiếp đến một kênh Telegram hoặc một ứng dụng tapper chuyên dụng do các tác nhân đe dọa vận hành. Dữ liệu NFC bị đánh cắp sau đó được sử dụng để rút tiền từ tài khoản của người dùng hoặc thực hiện mua hàng tại các thiết bị đầu cuối point-of-sale (PoS) gần như ngay lập tức.
“Khoảng 20 tổ chức đã bị mạo danh – chủ yếu là các ngân hàng và dịch vụ tài chính của Nga, nhưng cũng nhắm mục tiêu vào các tổ chức ở Brazil, Ba Lan, Cộng hòa Séc và Slovakia,” công ty bảo mật di động này cho biết.
