Theo các nhà nghiên cứu bảo mật, một chiến dịch chống lại các phần mềm ngân hàng độc hại xâm nhập vào điện thoại Android đã được thực hiện từ đầu năm nay.
Những kẻ tấn công đã ăn cắp thông tin, cài Banking Trojan Marcher trên điện thoại, và kích hoạt thông tin thẻ tín dụng. Cho đến nay, họ đã nhắm mục tiêu khách hàng của BankAustria, Raiffeisen Meine Bank và Sparkasse, nhưng chiến dịch có thể lan rộng ra ngoài Vienna.
Cuộc tấn công bắt đầu bằng một tin nhắn lừa đảo gửi qua email đến điện thoại, các nhà nghiên cứu an ninh tại Proofpoint đã giải thích trong một bài báo ngày thứ Sáu vừa qua. Thông báo giả vờ là từ ngân hàng của mục tiêu và chứa một liên kết thường bị che khuất bởi một short URL như bit.ly.
Liên kết này đưa nạn nhân đến một trang ngân hàng giả mạo mà bọn cướp yêu cầu tài khoản ngân hàng hoặc thông tin mã PIN của đối tượng.
Một khi các hacker có thông tin đó, họ hướng dẫn nạn nhân đăng nhập vào tài khoản của họ bằng địa chỉ email và mật khẩu của họ. Tất cả các thông tin nhập vào trang web ngân hàng giả mạo đều bị hackers lấy được.
Cho phép để Cướp
Thay vì truy cập vào một tài khoản, khách hàng nhận được một thông báo hướng dẫn họ cài đặt ứng dụng bảo mật của ngân hàng. Khoảng 7% mục tiêu đã tải xuống "ứng dụng bảo mật", thực sự là phần mềm độc hại của Marcher, Proofpoint ước tính .
Sau khi cài đặt, phần mềm độc hại yêu cầu cấp phép rộng rãi - mọi thứ từ nhận, gửi, đọc và viết tin nhắn SMS để mở các ổ cắm mạng, đọc địa chỉ, thay đổi cài đặt hệ thống và thậm chí khóa điện thoại.
Ngoài ra, khi các ứng dụng như cửa hàng Google Play được mở ra, phần mềm độc hại sẽ yêu cầu thông tin thẻ tín dụng của người dùng.
Ông nói với TechNewsWorld: "Nhìn chung, chúng ta không thấy có sự giao thoa giữa các diễn viên lừa đảo và những người phân phối phần mềm độc hại. "Sự kết hợp của Banking Trojans được thiết kế với âm mưu lừa lừa đảo và cuộc tấn công lừa đảo nhiều bước thu thập thông tin hoặc thông tin tài chính ở từng bước là khá bất thường".
Không tấn công email điển hình
Matt Vernhout, giám đốc bảo mật của 250ok, cho biết chiến dịch Marcher ở Áo được phối hợp nhiều hơn đáng kể so với cuộc tấn công email tiêu chuẩn.
Ông nói với TechNewsWorld: "Tuy nhiên, nó có thể có tác động hạn chế vì số bước cần thiết để hoàn thành cuộc tấn công có thể nhiều hơn hầu hết các cá nhân sẵn sàng hoàn thành.
Marcher đã được khoảng một thời gian dài, đó là lý do tại sao các thủ phạm của nó có thể thấy cần phải sửa đổi cách họ tạo ra các trang đích để bắt bớ nạn nhân.
Armando Orozco, chuyên gia phân tích tình báo về phần mềm độc hại cao cấp của Malwarebytes cho biết: "Điều này có thể xảy ra bởi vì các nhà cung cấp bảo mật và các máy chủ miền đang nóng lên khi tắt chúng.
Ông nói với TechNewsWorld: "Họ cần những con đường khác để giữ mô hình kinh doanh của họ tiếp tục chạy.
Mở rộng trong tương lai
Wheeler của Proofpoint cho biết khả năng chiến dịch Marcher lan truyền rất cao.
"Marcher đã được quan sát trên toàn thế giới, và chúng ta đã thấy nhiều chương trình phân phối phần mềm độc hại, chủ yếu thông qua SMS, và kỹ thuật xã hội ngày càng phức tạp từ các diễn viên liên quan đến Marcher", ông nói.
Rajiv Dholakia, Phó chủ tịch phụ trách các sản phẩm tại Nok Nok Labs, nói: "Bất kỳ cuộc tấn công như vậy thường là một con chim hoàng yến trong mỏ than.
Ông ta nói với TechNewsWorld rằng: "Người ta nên kỳ vọng những thay đổi của điều này để tiếp tục phát triển và lan rộng khắp thế giới.
Damien Hugoo, giám đốc tiếp thị sản phẩm tại Easy Solutions, phát biểu: "Thật không có gì ngạc nhiên khi phần mềm độc hại được phát hành ở một quốc gia hoặc khu vực và sau đó, tùy thuộc vào thành công của nó, mở rộng sang các nước khác.
Ông nói với TechNewsWorld: "Chúng tôi đã chứng kiến nhiều Banking Trojans bắt đầu ở châu Âu trong năm qua và mở rộng trên toàn cầu.
Tự bảo vệ mình
Những gì người dùng có thể làm để tự bảo vệ mình trước cuộc tấn công này?
Một sự bảo vệ dễ dàng là luôn cập nhật với hệ điều hành mới nhất trên điện thoại Android, như điện thoại Pixel và Nexus của Google, đề xuất Daniel Miessler, giám đốc dịch vụ tư vấn tại IOActive.
"Pixel và Nexus luôn cập nhật liên tục," anh nói với TechNewsWorld.
Ngoài ra, "Không bao giờ sử dụng các cửa hàng ứng dụng khác với cửa hàng chính thức của Google Play", Miessler khuyên "vì sự bảo mật cao nhất, hãy kiềm chế cài đặt các ứng dụng không được biết đến nhiều và được kiểm tra kỹ lưỡng."
Người dùng cần phải thận trọng.
"Cũng giống như các cuộc tấn công lừa đảo trên bất kỳ nền tảng nào, bản thân người tiêu dùng phải cẩn thận với các trò gian lận và tìm kiếm các dấu hiệu bất thường. Các email hoặc văn bản yêu cầu thông tin hoặc đưa ra lý do hợp lý cho việc tải một ứng dụng là những dấu hiệu cảnh báo rõ ràng" Wheeler.
"Các ứng dụng yêu cầu cấp phép rộng rãi hoặc không đến từ các cửa hàng ứng dụng hợp pháp cũng nên tránh", ông nói, "Trừ khi người dùng hoàn toàn chắc chắn về nguồn gốc và sự cần thiết của ứng dụng."
0 nhận xét:
Đăng nhận xét