Lưu ý: Trong chủ đề sắp đọc tiếp theo, bạn sẽ tìm hiểu về: ESET cảnh báo về trojan ngân hàng trong Google Play Store
Các nhà nghiên cứu bảo mật của ESET đã phát hiện ra một trojan ngân hàng mới trong Google Play Store cải trang thành ứng dụng “ID Defender”. Nó có khả năng đánh cắp thông tin như chi tiết ngân hàng, thông tin ví tiền điện tử và thông tin đăng nhập cho các dịch vụ email và mạng xã hội.
Một điểm thu hút sự chú ý là sau khi cài đặt, nó yêu cầu người dùng kích hoạt Dịch vụ trợ năng của Android, được coi là một trong những điểm yếu nhất của sistema hoạt động. Nhiều giải pháp bảo mật có thể phát hiện việc sử dụng kết hợp các dịch vụ trợ năng với các quyền, vai trò/tính năng độc hại khác. Trong trường hợp của Defensor ID, các giải pháp bảo mật không thể cảnh báo cho người dùng vì những kẻ tạo trojan đã giảm bề mặt độc hại của nó càng nhiều càng tốt.
Theo ESET, Defensor ID được phát hành vào đầu tháng 2 và được cập nhật lần cuối vào ngày 6 của tháng Năm. Dữ liệu từ Google Play Store cho thấy rằng nó đã được tải xuống bởi một số lượng nhỏ người dùng (chỉ hơn 10). Công ty bảo mật đã thông báo cho Google về trojan ngân hàng trong cửa hàng vào ngày 16 và nó đã bị xóa vào ngày 19.
Danh sách ID Người bảo vệ trên Google Play Store đã chỉ ra nhà phát triển ứng dụng là GAS Brazil – một dấu hiệu cho thấy trọng tâm thực sự là đánh cắp thông tin từ người dùng Brazil. Việc đưa “GAS” vào tên có lẽ nhằm mục đích khiến người dùng nghĩ rằng đó là một ứng dụng được phát triển bởi GAS Tecnologia, công ty chịu trách nhiệm về phần bổ trợ cho các dịch vụ ngân hàng trực tuyến khác nhau.
Một chi tiết khác về ứng dụng hứa hẹn cung cấp các tính năng bảo mật mới như mã hóa đầu cuối cho các ứng dụng đã cài đặt, đó là nó đã được liệt kê không chính xác trong danh mục “Giáo dục” của cửa hàng:
Sau khi cài đặt, ứng dụng yêu cầu quyền sửa đổi cài đặt của sistema, được hiển thị trong các ứng dụng khác và để bật các dịch vụ trợ năng. Nếu người dùng cung cấp quyền, trojan ngân hàng sẽ có thể xem bất kỳ văn bản nào được hiển thị trong bất kỳ ứng dụng nào được cài đặt trên thiết bị của người dùng và gửi thông tin cho người tạo phần mềm độc hại. Một điểm quan trọng khác là vì phần mềm độc hại cũng có thể truy cập SMS nên nó có thể xem các mã được gửi như một phần của quy trình xác thực hai yếu tố được nhiều trang web và dịch vụ sử dụng. Quyền truy cập của trojan vào các dịch vụ trợ năng cũng cho phép nó tiếp tục hoạt động bình thường ngay cả sau khi khởi động lại thiết bị.
Sau khi được cài đặt và cấp các quyền cần thiết, ứng dụng sẽ có thể nhận lệnh từ máy chủ chỉ huy và kiểm soát của bọn tội phạm đằng sau nó. Các lệnh cho phép nó thực hiện các hành động như chạy ứng dụng, gỡ cài đặt ứng dụng và thực hiện các hành động nhấp/chạm.
Trong khi phân tích ứng dụng độc hại, các nhà nghiên cứu của ESET phát hiện ra rằng những tên tội phạm đằng sau nó đã để lại cơ sở dữ liệu với thông tin người dùng bị lộ hoàn toàn trên web. Nó liệt kê các hoạt động trên khoảng 60 thiết bị bị phần mềm độc hại xâm nhập.
Người dùng cần hết sức cẩn thận khi tải xuống ứng dụng từ bất kỳ nguồn nào, ngay cả những nguồn chính thức như Google Play Store🇧🇷 Đây không phải là lần đầu tiên các ứng dụng độc hại xuất hiện trên cửa hàng Google và sẽ không phải là lần cuối cùng.
Qua: CanalTech Nguồn: ESET
🇧🇷
