Phát hiện phần mềm độc hại chuyên đánh cắp mật khẩu ngân hàng

12:32, 30/05/2022

Mới đây, các nhà nghiên cứu bảo mật tại Cyble và ESET đã phát hiện phần mềm độc hại ERMAC 2.0, chuyên đánh cắp mật khẩu và nhắm mục tiêu vào các ứng dụng ngân hàng.

Phần mềm độc hại ERMAC 2.0 hiện đang được rao bán trên dark web với giá chi phí đăng kí hàng tháng là 5.000 USD (tăng 2.000 USD/tháng so với phiên bản cũ).

Chi phí đăng ký tăng đột biến không chỉ do lạm phát mà còn do phiên bản 2.0 được tích hợp nhiều tính năng hơn, có khả năng đánh cắp thông tin đăng nhập và dữ liệu nhạy cảm từ hơn 467 ứng dụng, tăng so với 378 ứng dụng trước đó.

Khi nạn nhân cài đặt nhầm ERMAC 2.0 trên điện thoại, phần mềm độc hại sẽ yêu cầu quyền sử dụng Accessibility Service (dịch vụ trợ năng) để kiểm soát hoàn toàn thiết bị. Các nhà nghiên cứu nhận thấy trojan đã tự cấp cho mình 43 quyền, bao gồm quyền truy cập tin nhắn SMS, danh bạ, tạo cửa sổ cảnh báo hệ thống, ghi âm…

Khi người dùng cố gắng khởi chạy một ứng dụng trên điện thoại, trojan sẽ khởi chạy một trang web lừa đảo với giao diện gần như tương tự, từ đó thu thập các dữ liệu nhạy cảm.

Các nhà nghiên cứu đã phát hiện ERMAC 2.0 trong tự nhiên, giả mạo ứng dụng Bold Food (một dịch vụ giao đồ ăn ở châu Âu) và tấn công người tiêu dùng ở Ba Lan.

Ứng dụng giả mạo là “vũ khí phổ biến” của tội phạm mạng, đó là lý do tại sao bạn chỉ nên tải xuống các ứng dụng từ những nguồn hợp pháp, đơn cử như Google Play hoặc App Store.

Trước đó không lâu, nhóm phân tích mối đe dọa của Google (TAG) cáo buộc Cytrox (một công ty bí mật có trụ sở tại Bắc Macedonia) đã bán quyền truy cập vào 4 lỗ hổng bảo mật zero-day trên trình duyệt Google Chrome và Android cho các tin tặc có liên kết với chính phủ.

Tin tặc sau đó đã tiến hành khai thác lỗ hổng và thực hiện chiến dịch tấn công bằng phần mềm gián điệp Predator.

Các nhà nghiên cứu tin rằng nhóm tin tặc mua phần mềm gián điệp Predator có trụ sở trên khắp thế giới, bao gồm Hy Lạp, Serbia, Ai Cập, Armenia, Tây Ban Nha, Indonesia, Madagascar và Bờ Biển Ngà (Côte d'Ivoire).

Bên cạnh đó, nhóm phân tích mối đe dọa của Google (TAG) còn cảnh báo về một xu hướng mới đáng lo ngại: phần lớn các lỗ hổng zero-day mà họ phát hiện năm ngoái được cố ý “phát triển” bởi các công ty giám sát tư nhân như Cytrox. “7 trong số 9 lỗ hổng zero-day được phát hiện vào năm 2021 được bán và sử dụng bởi các tổ chức do chính phủ hậu thuẫn”.

Minh Thuỳ (T/h)